)
)
Windows 10でリモートレジストリを介してRDPを有効にするための前提条件
レジストリを介して変更を加える前に、環境がリモート管理をサポートしていること、およびすべての必要なサービスと権限が構成されていることを確認することが重要です。
ターゲットシステムがWindows 10 ProまたはEnterpriseを実行していることを確認してください
Windows 10 Home EditionにはRDPサーバーコンポーネント(TermService)が含まれていません。HomeエディションのデバイスでRDPを有効にしようとしても、レジストリキーが正しく構成されていても、機能するRDPセッションにはなりません。
PowerShellを介してリモートでエディションを確認できます:
管理者アクセスを確認する
レジストリの変更とサービス管理にはローカル管理者権限が必要です。ドメイン資格情報を使用する場合は、ユーザーアカウントがリモートマシンの管理者グループの一部であることを確認してください。
ネットワーク接続と必要なポートを検証する
リモートレジストリとRDPは特定のポートに依存しています:
- TCP 445 (SMB) – リモートレジストリおよびRPC通信に使用されます
- TCP 135 (RPC エンドポイントマッパー) – リモート WMI およびサービスによって使用されます
- TCP 3389 RDP接続に必要です
ポートチェックを実行します:
リモートレジストリサービスのステータスを確認する
リモートレジストリサービスは、自動に設定され、開始されている必要があります。
リモートレジストリサービスを有効にして開始する方法
リモートレジストリサービスは、セキュリティ上の理由からデフォルトで無効になっていることがよくあります。ITプロフェッショナルは、リモートレジストリ操作を試みる前に、それを有効にして開始する必要があります。
PowerShellを使用してサービスを構成する
サービスを自動的に開始するように設定し、すぐに開始することができます:
これにより、再起動後もサービスがアクティブのままになります。
リモートコンピュータでのServices.mscの使用
PowerShellリモーティングが利用できない場合:
- services.mscを実行します
- クリックアクション > 別のコンピュータに接続
- ターゲットマシンのホスト名またはIPを入力してください
- リモートレジストリを見つけて、右クリック > プロパティ
- 「スタートアップの種類」を自動に設定
- スタートをクリックし、次にOKをクリックしてください。
サービスが実行されると、リモートコンソールからのレジストリ編集が可能になります。
RDPを有効にするためのレジストリの変更
RDPを有効にするための核心は、単一のレジストリ値であるfDenyTSConnectionsです。これを1から0に変更すると、マシン上でRDPサービスが有効になります。
方法1:Regeditを使用して「ネットワークレジストリに接続」
これはアドホックタスクに適したGUIベースの方法です。
- ローカルマシンでregedit.exeを管理者として実行します
- ファイル > ネットワークレジストリに接続をクリックしてください
- ターゲットマシンのホスト名を入力してください
- ナビゲートするには: pgsql: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
- fDenyTSConnectionsをダブルクリックし、その値を0に変更します。
注意: この変更はWindowsファイアウォールを自動的に構成するものではありません。それは別途行う必要があります。
方法2: PowerShellを使用してレジストリを編集する
自動化やスクリプト作成には、PowerShellが推奨されます。
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0 ; }
値が変更されたことを確認できます。
powershell: Invoke-Command -ComputerName TargetPC -ScriptBlock { ; Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections ; }
RDPのファイアウォールルールを有効にする
デフォルトでは、Windowsファイアウォールは受信RDP接続をブロックします。適切なルールグループを通じて明示的に許可する必要があります。
PowerShellを使用してファイアウォールルールを有効にする
これにより、「Remote Desktop」グループのすべての定義済みルールが有効になります。
PsExecとNetshを使用してファイアウォールルールを有効にする
PowerShellリモーティングが利用できない場合、SysinternalsのPsExecが役立ちます。
bash: psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes
セキュリティのヒント: ドメインGPOを使用する場合、中央集権的なポリシーを介してRDPアクセスとファイアウォールルールを適用できます。
RDPアクセスの確認とテスト
設定を確認するには:
Test-NetConnectionを使用してください
確認してください ポート3389 リスニング中:
TcpTestSucceeded: True
RDP接続を試みる
mstsc.exeを開き、ターゲットのホスト名またはIPアドレスを入力し、管理者の資格情報を使用して接続します。
資格情報のプロンプトが表示された場合、RDPセッションが正常に開始されました。
イベントログを使用してトラブルシューティングを行う
リモートシステムのイベントビューアを確認してください:
接続試行やリスナーの失敗に関連するエラーを探してください。
RDPをリモートで有効にする際のセキュリティ考慮事項
RDPを有効にすると、攻撃面が大幅に広がります。特にネットワークを通じてRDPを公開する際には、環境を強化することが重要です。
露出を最小限に抑える
- ネットワークレベルの認証 (NLA) を使用する
- Windows Firewallや周辺ファイアウォールを使用して、既知のIP範囲へのRDPアクセスを制限します。
- インターネットにRDPを直接公開しないでください
レジストリの変更を監視する
fDenyTSConnectionsキーは、マルウェアや攻撃者によって横移動を可能にするために一般的に変更されます。次のような監視ツールを使用してください:
- Windowsイベント転送
- エラスティックセキュリティまたはSIEMプラットフォーム
- PowerShell ロギングとレジストリ監査
資格情報の衛生とMFAを使用する
RDPアクセスを持つすべてのアカウントに次のことを確認してください:
- 複雑なパスワード
- 多要素認証
- 最小特権の割り当て
一般的な問題のトラブルシューティング
RDPがレジストリとファイアウォールを設定した後でもまだ動作しない場合、調査すべきいくつかの可能性のある根本原因があります。
問題: ポート 3389 が開いていません
次のコマンドを使用して、システムがRDP接続をリッスンしていることを確認します:
リスナーがいない場合、リモートデスクトップサービス(TermService)が実行されていない可能性があります。手動で開始するか、マシンを再起動してください。また、グループポリシー設定がサービスを意図せず無効にしていないことを確認してください。
問題:ユーザーがRDP経由でログインできない
対象のユーザーがリモートデスクトップユーザーグループのメンバーであるか、グループポリシーを通じてアクセスが許可されていることを確認してください。
Pgsql: コンピュータの構成 > ポリシー > Windows 設定 > セキュリティ設定 > ローカルポリシー > ユーザー権利の割り当て > リモートデスクトップサービスを介してログオンを許可
グループメンバーシップを確認するには次のようにします:
また、このグループからユーザーを削除する競合するポリシーがないことを確認してください。
問題: リモートレジストリまたはRPCが応答しません
確認してください:
- リモートレジストリサービスが実行中です
- Windowsファイアウォールまたは他のサードパーティのAVは、TCPポート135または445をブロックしていません。
- ターゲットシステムのWindows Management Instrumentation (WMI)インフラストラクチャは機能しています
より広範な可視性のために、wbemtestやGet-WmiObjectのようなツールを使用してRPC通信を検証してください。
TSplus Remote Accessを使用してリモートデスクトップ管理を簡素化する
手動のレジストリおよびファイアウォールの設定は強力ですが、大規模に行うと複雑でリスクが伴うことがあります。 TSplus リモートアクセス 従来のRDPセットアップに対する安全で集中管理された効率的な代替手段を提供します。ウェブベースのアクセス、マルチユーザーサポート、組み込みのセキュリティ機能を備えたTSplusは、リモートデスクトップの配信と管理を効率化しようとする組織にとって理想的なソリューションです。
結論
Windows 10でリモートレジストリを介してRDPを有効にすることは、IT管理者にリモートアクセスを提供する柔軟で低レベルな方法を提供します。大規模にデバイスを構成する場合でも、ヘッドレスシステムへのアクセスをトラブルシューティングする場合でも、この方法は正確でスクリプト可能なソリューションを提供します。常に強力なファイアウォールルール、ユーザーレベルの権限、およびセキュリティ監視と組み合わせて、コンプライアンスを確保し、悪用から保護してください。

TSplus リモートアクセス 無料トライアル
デスクトップ/アプリアクセスのための究極のCitrix/RDS代替。安全で、コスト効果が高く、オンプレミス/クラウド