RDS Security group ポリシー設定で、ローカル管理者が権限のカスタマイズをできるようにするかどうかを制御します。

Horizon 7 RDS グループ ポリシー設定は、[コンピュータの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [リモート デスクトップ サービス] > [リモート デスクトップ セッション ホスト] > [セキュリティ] フォルダにインストールされています。

表 1. RDS Security Group ポリシー設定
設定 説明
Server Authentication Certificate Template

このポリシー設定では、RDS ホストの認証で自動的に選択される証明書を決める証明書テンプレートの名前を指定します。

RDP 接続中にクライアントと RDS ホスト間の通信を保護するために SSL (TLS 1.0) を使用する場合、RDS ホストの認証に証明書が必要になります。

このポリシー設定を有効にすると、証明書テンプレートの名前を指定する必要があります。RDS ホストの認証に使用する証明書が自動的に選択される場合、指定した証明書テンプレートで作成された証明書のみ対象となります。証明書の自動選択は、特定の証明書が選択されていない場合にのみ行われます。

指定した証明書テンプレートで作成された証明書が見つからない場合、RDS ホストは証明書の登録要求を発行します。この要求が完了されるまでは現在の証明書が使用されます。指定した証明書テンプレートで作成された証明書が複数見つかった場合は、有効期限が最も長く、RDS ホストの現在の名前に一致する証明書が選択されます。

このポリシー設定を無効にするか、構成しない場合、自己署名証明書が RDS ホストの認証にデフォルトで使用されます。リモート デスクトップ セッション ホスト構成ツールの [全般] タブで、RDS ホストの認証に使用する特定の証明書を選択できます。

注: : RDS ホストの認証に使用される特定の証明書を選択した場合、この証明書がポリシー設定より優先されます。
Set client connection encryption level

リモート デスクトップ プロトコル (RDP) 接続時にクライアントと RDS ホスト間の通信を保護するため、特定の暗号化レベルの使用を必要とするかどうかを指定します。

このポリシー設定を有効にした場合、リモート接続時のクライアントと RDS ホスト間のすべての通信で、ここで指定した暗号化方法を使用する必要があります。デフォルトでは、暗号化レベルは [高] に設定されています。次の暗号化方法を使用できます。

  • High。[高] を設定すると、クライアントとサーバ間で送受信されるデータは強固な 128 ビット暗号化で保護されます。この暗号化レベルは、128 ビット暗号化をサポートするクライアント(たとえば、リモート デスクトップ接続を実行するクライアント)のみを含む環境で使用します。この暗号化レベルをサポートしていないクライアントは RDS ホスト サーバに接続できません。
  • Client Compatible。[クライアント互換] を設定すると、クライアントとサーバ間で送受信されるデータは、クライアントでサポートされている最高のキー強度で暗号化されます。この暗号化レベルは、128 ビット暗号化をサポートしていないクライアントを含む環境で使用します。
  • Low。[低] を設定すると、クライアントからサーバに送信されるデータのみ 56 ビット暗号化で暗号化されます。

この設定を無効にするか、構成しない場合、RDS ホストへのリモート接続に使用される暗号化レベルは、グループ ポリシーで強制的に適用されません。ただし、リモート デスクトップ セッション ホスト構成ツールを使用すると、これらの接続に必要な暗号化レベルを設定できます。

重要: : FIPS 準拠は、[暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で構成できます。設定するには、 [コンピュータの構成] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] の順に移動するか、リモート デスクトップ セッション ホスト構成で [FIPS 準拠] を使用します。[FIPS 準拠] 設定では、Microsoft 暗号化モジュールを使用して、FIPS (Federal Information Processing Standard) 140-1 暗号化アルゴリズムにより、クライアントとサーバ間で送受信されるデータの暗号化と暗号化解除を行います。この暗号化レベルは、クライアントと RDS ホスト間の通信で最高レベルの暗号化が必要な場合に使用します。FIPS 準拠が、グループ ポリシーの [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] 設定によってすでに有効になっている場合、この設定は、このグループ ポリシー設定またはリモート デスクトップ セッション ホスト構成ツールで指定された暗号化レベルよりも優先されます。
Always prompt for password upon connection

接続時に、リモート デスクトップ サービスがクライアントに常にパスワードの入力を要求するかどうかを指定します。

この設定を使用すると、リモート デスクトップ サービスにログインしているユーザーがリモート デスクトップ接続のクライアントでパスワードをすでに入力していても、パスワードの入力を強制的に要求できます。

デフォルトでは、リモート デスクトップ接続クライアントでパスワードを入力すると、リモート デスクトップ サービスに自動的にログインできます。

このポリシー設定を有効にすると、リモート デスクトップ接続のクライアントでパスワードを入力しても、リモート デスクトップ サービスに自動的にログインできません。ログイン パスワードが要求されます。

このポリシー設定を無効にすると、リモート デスクトップ接続のクライアントでパスワードを入力すると、リモート デスクトップ サービスに自動的にログインできます。

この設定を行わない場合、グループ ポリシー レベルで自動ログインが指定されません。ただし、管理者がリモート デスクトップ セッション ホスト構成ツールを使用して、パスワードを強制的に要求できます。

Require secure RPC communication

RDS ホストがすべてのクライアントとの RPC 通信の保護を要求するのか、保護されていない通信を許可するのかを指定します。

この設定を使用すると、クライアントとの RPC 通信をセキュリティで保護し、認証済みで暗号化された要求のみを許可できます。

この設定を有効にすると、リモート デスクトップ サービスは、保護された要求をサポートする RPC クライアントからの要求を受け入れます。信頼されていないクライアントとの保護されていない通信は許可されません。

この設定を無効にすると、リモート デスクトップ サービスは、すべての RPC トラフィックにセキュリティを要求します。ただし、RPC クライアントが要求に応答しない場合には、保護されていない通信が許可されます。

この設定を行わない場合、保護されていない通信が許可されます。

注: : リモート デスクトップ サービスの管理と構成には RPC インターフェイスが使用されます。
Require use of specific security layer for remote (RDP) connections

リモート デスクトップ プロトコル (RDP) 接続時にクライアントと RDS ホスト間の通信を保護するため、特定のセキュリティ レイヤーの使用を必要とするかどうかを指定します。

このポリシー設定を有効にした場合、リモート接続時のクライアントと RDS ホスト間のすべての通信で、ここで指定したセキュリティ方法を使用する必要があります。次のセキュリティ方法を使用できます。

  • Negotiate。ネゴシエートでは、クライアントでサポートされている最も安全性の高い方法が強制的に実行されます。Transport Layer Security (TLS) バージョン 1.0 がサポートされている場合、RDS ホストの認証に使用されます。TLS がサポートされていない場合、ネイティブのリモート デスクトップ プロトコル (RDP) 暗号化を使用して通信が保護されますが、RDS ホストは認証されません。
  • RDP。RDP では、ネイティブの RDP 暗号化を使用して、クライアントと RDS ホスト間の通信が保護されます。この設定を選択すると、RDS ホストは認証されません。
  • SSL (TLS 1.0)。SSL の場合、TLS 1.0 を使用して RDS ホストを認証する必要があります。TLS がサポートされていない場合、接続に失敗します。

この設定を無効にするか、構成しない場合、RDS ホストへのリモート接続に使用されるセキュリティ方法はグループ ポリシーで強制的に適用されません。ただし、リモート デスクトップ セッション ホスト構成ツールを使用すると、これらの接続に必要なセキュリティ方法を設定できます。

Require user authentication for remote connections by using Network

このポリシー設定では、RDS ホストへのリモート接続でネットワーク レベルの認証を使用したユーザー認証が必要かどうかを指定します。このポリシー設定を使用すると、リモート接続プロセスの初期段階でユーザーの認証が要求されるため、セキュリティが強化されます。

このポリシー設定を有効にすると、ネットワーク レベルの認証をサポートするクライアント コンピュータのみが RDS ホストに接続できます。

クライアント コンピュータがネットワーク レベルの認証に対応しているどうかを確認するには、クライアント コンピュータでリモート デスクトップ接続を起動して、[リモート デスクトップ接続] ダイアログ ボックスの左上のアイコンをクリックし、[バージョン情報] をクリックします。[バージョン情報] ダイアログ ボックスで、「ネットワーク レベル認証はサポートされています」というテキストを探します。

このポリシー設定を無効にするか、構成しない場合、RDS ホストへのリモート接続を許可する前のユーザー認証で、ネットワーク レベルの認証が不要になります。

リモート デスクトップ セッション ホスト構成ツールまたは、[システムのプロパティ] の [リモート] タブを使用すると、ユーザー認証にネットワーク レベルの認証が必要であることを指定できます。

重要: : このポリシー設定を無効にするか、構成しない場合、ユーザー認証がリモート接続処理の後半で行われるため、セキュリティが低下します。
Do not allow local administrators to customize permissions

リモート デスクトップ セッション ホスト構成ツールで、セキュリティ権限をカスタマイズする管理者権限を無効にするかどうかを指定します。

この設定を使用して、管理者がリモート デスクトップ セッション ホスト構成ツールの [アクセス権限] タブでユーザー グループを変更できないようにすることができます。デフォルトでは、管理者はこのような変更を行うことができます。

ステータスが [有効] に設定されている場合、リモート デスクトップ セッション ホスト構成ツールの [アクセス権限] タブでは、接続ごとのセキュリティ記述子をカスタマイズしたり、既存のグループのデフォルトのセキュリティ記述子を変更したりすることはできません。すべてのセキュリティ記述子は読み取り専用です。

ステータスが [無効] または [構成されていません] に設定されている場合でも、サーバ管理者にはリモート デスクトップ セッション ホスト構成ツールの [アクセス権限] タブのユーザーのセキュリティ記述子へのすべての読み取り/書き込み権限があります。

注: : ユーザーのアクセスを管理する際には、リモート デスクトップ ユーザー グループにユーザーを追加することをお勧めします。