やりたいこと
1. Windows Server 2022 のインストール
評価版のダウンロード
Hyper-Vへのインストール
インストール後作業
- Windows Update
- RDP有効化(暫定)
2. RD-GW セットアップ
RD-GWインストール
※ リソース承認ポリシー(RD RAP)は上記手順+下記の通り関連グループをがっつり指定しないと入れんかった(理由はよくわからんかった...)
※ "3.2.5. 作成した証明書のエクスポート" 以降の手順はやらなくてもiOSから入れるので、スルー
RDログイン用 ローカルユーザー作成
※ cmd.exe上で下記コマンドを実行してユーザー作成
net user <username> <password> /add
net localgroup Administrators <username> /add
※ 作成したユーザーは"パスワードあり Yes"になってないとRDP接続ができない
※ 前手順で作成したポリシーはAdministratorsのみRDPが貫通させられるようになっているため、"所属しているローカル グループ Administrators"とする必要あり。
3. RD-GW ログイン検知設定
ログイン検知バッチの配置
detectLogon.bat
curl -s -X POST -H "Content-Type: application/json" --data "{\"content\":\"Login Detected.\"}" https://discordapp.com/api/webhooks/HOGHOGE~
ログイン検知バッチの起動設定
タスクスケジューラ設定:タスク スケジューラライブラリ
全般
- 名前:detect login
- ✓ユーザーがログオンしているかどうかにかかわらず実行する
- ✓最上位の特権で実行する
トリガー
- イベント時 - ログ:Security、イベントID:6272
操作
- プログラムの開始 C:\Users....detectLogon.bat
- オプションなし
4.セキュリティ強化設定
足りなそうだが...一応最低限
RDPの無効化
リモートデスクトップの設定
- リモートデスクトップを有効にする:オフ
Administratorの無効化
コンピュータの管理 ⇒ ローカルユーザーとグループ ⇒ ユーザー
Administrator ⇒ プロパティを右クリック
- 全般タブの"アカウントを無効にする"をチェックして、適用
5. iOS RDPソフト側設定
ゲートウェイ設定
設定 ⇒ ゲートウェイ
- ゲートウェイ名:
<インターネット上に公開したFQDN>:<ポート番号>
- ユーザーアカウント:
<username>
- ユーザー@ドメインまたはドメイン\Userユーザー:
<username>
- パスワード:
<password>
- ユーザー@ドメインまたはドメイン\Userユーザー:
PC設定
- PC名:
<ローカルネットワーク内のPCアドレス>
- ユーザーアカウント:
<ローカルネットワーク内のPCユーザ名>
- ユーザー@ドメインまたはドメイン\Userユーザー:<ローカルネットワーク内のPCユーザ名>
- パスワード:<ローカルネットワーク内のPCパスワード>
※ ローカルネットワーク内のPCのRDPポートは開けておくこと