pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


Chrome リモートデスクトップを禁止する

これは自分用のメモ。

Chrome リモートデスクトップ、便利ですよねえ。社外から社内のコンピュータを操作するのに、VPNとか組まなくてもよいのですから。

だけど組織のセキュリティポリシー上の理由からこれを禁止したいケースはあるはずです。


具体的な方法を以下に記す。

Chromeリモートデスクトップのインストール自体を禁止する

インストール自体を禁止したい場合は、業務向けの "Chrome for work" を使用すればよいそうです。
www.google.co.jp

これについては、そのうちネタにしよう。検証が不十分なので。

ChromeリモートデスクトップをLANからの接続だけに限定して許可する

RemoteAccessHostFirewallTraversal というポリシーを設定すると、Chromeリモートデスクトップが使用するポートが UDP の 12400 - 10409 に制限すると良いそうです。そうするとネットワーク側でシバリが入れられるわけですね。

社内ネットワークでのChromeリモートデスクトップの通信を行えないようにする

Chromeリモートデスクトップでは、下記2つのホストとの通信が発生します。

  • chromoting-host.talkgadget.google.com
  • chromoting-client.talkgadget.google.com

よって、これらのホスト名に対して下記のような対策を行えば、Chromeリモートデスクトップは利用できなくなるわけです。

  • これらのホストとの通信を制限する。
  • これらのホストに対する名前解決に対する返答を失敗させるか、または別のホストにリダイレクトされるようにする。


本件の元ネタは Google の以下のページからの抜粋です。
https://support.google.com/chrome/a/answer/2799701?hl=ja