Alex Ruben
Windows Server 2022および2019でグループポリシーを使用してドメインユーザーのVPNアクセスを制限する方法
導入
ドメインネットワーク上でVPN接続をブロックするのは簡単ではありませんが、不可能ではありません。基本的には、各自のPCでVPNの作成や使用を制限するGPO(グループポリシーオブジェクト)を設定するだけです。承認されていないVPNが心配な場合や、誰が何にアクセスしているかをより厳密に制御したい場合は、これらの手順が非常に役立ちます。ただし、設定によっては、これらのポリシーを正しく適用するために再起動やgpupdate /forceの実行が必要になる場合があることに注意してください。また、Windowsは予期せぬ変更を加えることが多いため、まずは少人数のグループでテストすることをお勧めします。
前提条件
興味深い内容に入る前に、以下のものを用意しておいてください。
- Windows Server 2019 または 2022 マシンの管理者権限。
- グループ ポリシー管理コンソール (GPMC) がインストールされています (通常はリモート サーバー管理ツールの一部です)。
- OU がどこにあるかなど、Active Directory 構造を適切に理解していること。
ステップ1: グループポリシー管理コンソールを開く
最初のステップはGPMCを見つけることです。サーバーマネージャーを開き、 「ツール」をクリックして「グループポリシー管理」を選択します。見つからない場合は、RSATツールのインストールが必要になる可能性があります。開くと、ドメインが一覧表示されます。
ステップ2: 新しいGPOを作成する
左側のドメインツリー(例:yourdomain.local)に移動し、OU(または包括的なルールが必要な場合はドメイン自体)を右クリックし、「このドメインにGPOを作成し、ここにリンクする」を選択します。「」のような名前を付けますBlock VPN Access。当たり前のことのように思えますが、こうすることで後で分かりやすくなります。設定によっては、この手順が最初は失敗する場合があります。その場合は、GPMCを再起動するか、ログアウトしてから再度ログインしてください。
ステップ3: GPOを編集してVPN制限を追加する
新しいGPOを右クリックし、「編集」を選択します。グループポリシー管理エディターが開きます。左ペインで以下のパスに進みます。
ユーザーの構成 → ポリシー → 管理用テンプレート → ネットワーク → ネットワーク接続
当然のことながら、WindowsではVPNをブロックするのが少し難しくなっています。バージョンやアップデートによっては、関連するポリシーが別のノードに配置されている場合があるので、ご注意ください。
ステップ4: VPNの使用を停止するポリシーを有効にする
ここで魔法が起こります。以下のポリシーを有効にしてください。
-
「TCP/IP 詳細構成を禁止する」をダブルクリックします。「有効」 に設定します。これにより、一部の環境ではVPN設定を含む可能性のあるネットワーク構成をユーザーが編集できなくなります。
-
「新しい接続ウィザードへのアクセスを禁止する」をダブルクリックします。 これも有効にしてください。すべてのVPNをブロックするわけではありませんが、ウィザード経由での新しい接続の開始を防止します。
-
詳細メニューの「リモートアクセス設定へのアクセスを禁止する」をダブルクリックして 有効にします。
-
最後に、「LAN接続のプロパティへのアクセスを禁止する」 をオンにします。
なぜ役立つのか:これらのポリシーは、基本的にユーザーがVPNオプションを確認したり、ネットワーク設定を調整したりすることを困難にします。それが目的です。どのような場合に有効でしょうか?ユーザーが会社のポリシーに反して独自のVPNを設定しようとしている場合や、セキュリティを強化しようとしている場合などです。
期待できることは? VPNポップアップが減り、誤ってまたは意図的に外部のVPNに接続する可能性が低くなります。また、gpupdate /forceクライアントマシンの再起動やコマンド実行によって速度が向上することもあります。
ステップ5: 変更をプッシュする
保存すると、これらのポリシーはしばらく経ってから、または再起動後に適用されます。クライアントコンピューターでの処理を高速化したい場合は、コマンドプロンプトまたはPowerShellを開いて次のコマンドを実行してください。
gpupdate /force
これにより、ポリシーが直ちに更新されます。ただし、一部のマシンでは、制限を完全に適用するためにログオフして再度ログインするか、再起動する必要がある場合がありますのでご注意ください。
追加のヒントとよくある問題点
これをよりスムーズに行うためのヒントをいくつか紹介します。
- まずは少数のユーザーまたはコンピューターでテストしてください。運用中に問題が発生することほどイライラすることはありません。
- 競合している可能性のある、またはローカル ポリシーまたはセキュリティ設定を通じて VPN を許可している可能性のある他の GPO がないか確認します。
- ユーザーに最新情報を知らせてください。警告なしの突然の制限は混乱を招く可能性があります。
結論
なぜ機能するのかは分かりませんが、これらの設定により、ほとんどの単純なVPN設定がブロックされ、ネットワークアクセスが少しだけ安全になります。完璧ではありませんが、良いスタートです。ただし、テクノロジーは常に一歩先を進んでいることを忘れないでください。新しいVPNアプリやトリックがすり抜けてしまう可能性もあるので、油断は禁物です。
よくある質問
GPO とは何でしょうか?
これは、Active Directory 内のユーザーまたはコンピューター アカウントにプッシュできるルールのコレクションであり、設定のリモート コントロールのようなものです。
これを特定のユーザーに限定することはできますか?
はい、もちろんです。制限したいユーザーまたはコンピュータのみを含むOUにGPOをリンクするだけです。とても簡単です。
すでにVPNをインストールしています。これで攻撃を阻止できますか?
おそらくソフトウェアは削除されないでしょうが、ユーザーがソフトウェアに接続したり設定したりすることはできなくなるはずです。少なくとも理論上はそうなります。