pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

iPad3のSIMロックに関する考察とSIM下駄による解除の試みはSoftbank版iPad3にiPhone用のSIM下駄を履かせてみるにいろいろ書いてます。

ポストした内容のカテゴリー分けがちゃんと出来てないので、過去記事を探したい方はお手数ですが検索で探してみてください。


Chrome リモートデスクトップを禁止する

これは自分用のメモ。

Chrome リモートデスクトップ、便利ですよねえ。社外から社内のコンピュータを操作するのに、VPNとか組まなくてもよいのですから。

だけど組織のセキュリティポリシー上の理由からこれを禁止したいケースはあるはずです。


具体的な方法を以下に記す。

Chromeリモートデスクトップのインストール自体を禁止する

インストール自体を禁止したい場合は、業務向けの "Chrome for work" を使用すればよいそうです。
www.google.co.jp

これについては、そのうちネタにしよう。検証が不十分なので。

ChromeリモートデスクトップをLANからの接続だけに限定して許可する

RemoteAccessHostFirewallTraversal というポリシーを設定すると、Chromeリモートデスクトップが使用するポートが UDP の 12400 - 10409 に制限すると良いそうです。そうするとネットワーク側でシバリが入れられるわけですね。

社内ネットワークでのChromeリモートデスクトップの通信を行えないようにする

Chromeリモートデスクトップでは、下記2つのホストとの通信が発生します。

  • chromoting-host.talkgadget.google.com
  • chromoting-client.talkgadget.google.com

よって、これらのホスト名に対して下記のような対策を行えば、Chromeリモートデスクトップは利用できなくなるわけです。

  • これらのホストとの通信を制限する。
  • これらのホストに対する名前解決に対する返答を失敗させるか、または別のホストにリダイレクトされるようにする。

安直なのは前者の対処でしょうか。これらのホスト名のIPアドレスは現時点では以下のとおりでしたから、このIPアドレスに対する通信を止めればよいのでしょう。

$ host
chromoting-host.talkgadget.google.com is an alias for wildcard-talkgadget.l.google.com.
wildcard-talkgadget.l.google.com has address 74.125.23.189

$ host chromoting-client.talkgadget.google.com 
chromoting-client.talkgadget.google.com is an alias for wildcard-talkgadget.l.google.com.
wildcard-talkgadget.l.google.com has address 74.125.23.189


本件の元ネタは Google の以下のページからの抜粋です。
https://support.google.com/chrome/a/answer/2799701?hl=ja