Chrome リモートデスクトップを禁止する
これは自分用のメモ。
Chrome リモートデスクトップ、便利ですよねえ。社外から社内のコンピュータを操作するのに、VPNとか組まなくてもよいのですから。
だけど組織のセキュリティポリシー上の理由からこれを禁止したいケースはあるはずです。
- Chromeリモートデスクトップのインストール自体を禁止する
- ChromeリモートデスクトップをLANからの接続だけに限定して許可する
- 社内ネットワークの端末がChromeリモートデスクトップの通信を行えないようにする
具体的な方法を以下に記す。
Chromeリモートデスクトップのインストール自体を禁止する
インストール自体を禁止したい場合は、業務向けの "Chrome for work" を使用すればよいそうです。
www.google.co.jp
これについては、そのうちネタにしよう。検証が不十分なので。
ChromeリモートデスクトップをLANからの接続だけに限定して許可する
RemoteAccessHostFirewallTraversal というポリシーを設定すると、Chromeリモートデスクトップが使用するポートが UDP の 12400 - 10409 に制限すると良いそうです。そうするとネットワーク側でシバリが入れられるわけですね。
社内ネットワークでのChromeリモートデスクトップの通信を行えないようにする
Chromeリモートデスクトップでは、下記2つのホストとの通信が発生します。
- https://remotedesktop-pa.googleapis.com/ (LAN内のクライアントからのリモートデスクトップ発信接続と、ネットワーク経由のリモートデスクトップ着信の両方に使用)
- https://remotedesktop.google.com/ (Webクライアントの利用で使用)
よって、これらのホスト名に対して下記のような対策を行えば、Chromeリモートデスクトップは利用できなくなるわけです。
- これらのホストとの通信を制限する。
- これらのホストに対する名前解決に対する返答を失敗させるか、または別のホストにリダイレクトされるようにする。
本件の元ネタは Google の以下のページからの抜粋です。
https://support.google.com/chrome/a/answer/2799701?hl=ja