#忘れるためのニュースメモ

リモート・ログオン・ユーザーからのファイル・アクセスを制限する − ＠IT
　リモート・デスクトップの利点は、あたかも操作対象のコンピュータの前にいるようにして、遠隔地からこれを自由自在に操作できることだ。ソフトウェアのインストールからファイル・アクセス、コンピュータの再起動に至るまで、ほぼどんな操作も可能だ。だからこそ便利なのだが、万一何らかの理由から、不正なユーザーがリモート・デスクトップ接続に成功した場合、コンピュータは完全に乗っ取られてしまう。
　このため同一ユーザーであっても、ローカル・ログオンした場合と、リモートからリモート・デスクトップでログオンした場合で、ファイルへのアクセス制御を切り替えたいということもあるだろう。例えば、機密性の高い情報ファイル（例えば経理や財務、人事情報など）には、たとえ本来アクセス権を持つユーザーであっても、リモート・デスクトップ経由の接続ではアクセスを禁止するなどだ。こうしておけば、万一不正攻撃によって攻撃者によるリモート・デスクトップ接続ができたとしても、重要ファイルへのアクセスは禁止できることになる。
　Windows XP／Windows Server 2003では、リモート・デスクトップやターミナル・サービス、リモート・アシスタンス機能を利用してログオンしたユーザーには、REMOTE INTERACTIVE LOGONというセキュリティID（SID）が自動的に割り当てられ、そのユーザーはREMOTE INTERACTIVE LOGONグループに属するものとしてアクセス制御が実施されるようになっている。従って前述のようなアクセス制御を実施したければ、当該ファイルのプロパティを設定し、REMOTE INTERACTIVE LOGONグループのユーザーに対してアクセス制御を行えばよい。