Windows リモート機能関連の検査 RDP チェックツール2020 |
ヘルプデスク等で使用されることがある、RDP(Windows標準搭載の遠隔操作機能「リモートデスクトップ」)が、悪用されていないかを簡単に確認するための無料ツールです。
個人・法人を問わず無料でご使用いただけます。
弊社の技術者「冨田」が、簡易調査業務を楽にするために自作した自動チェックプログラムの一部機能を、手軽なVBScriptで作り変えて無料で提供いたします。
非常にシンプルかつ低レベルなツールですが、わずか数クリックだけでRDPの状態を確認することができるので、Windows標準のシステムツールを操作して確認するよりもずっと手軽です。
煩わしい目視チェック作業を簡略化できますので、特に中小企業などで、複数台のWindows端末の面倒を任されている管理者様にとって、便利にお使い頂けるかと思います。
Windowsパソコンを遠隔操作する方法は、下記例のように複数の種類があります。
①Windows標準搭載のRDP(リモートデスクトップ)を使用する方法。
②サードパーティ製の遠隔操作プログラムを使用する方法。
③資産管理システム等の集中管理システムを使用する方法。
④サイバー攻撃(脆弱性の悪用、なりすまし、マルウェアなど)
などなど。
このページで紹介する簡易ツールは、上記①のRDP(リモートデスクトップ)を使用した遠隔操作の有無をチェックするものです。
※それ以外の方法については、このツールでは一切チェックしません。
RDPによる遠隔操作があった場合、Windowsが自動で動作状況を記録している“セキュリティログ”にログが残ります。
そのログを確認すればRDPの使用状況がある程度わかるのですが、一般的にはそのような確認方法があることを知らない人が大多数です。
たとえそれを知っていたとしても、ログ確認のやり方やコツがわからないと、ビューワーを見たところで何が何やらチンプンカンプンです。
また、その確認作業は割と手間や時間がかかることですし、日常的に行うような作業ではないので手順を忘れてモタモタしてしまうことも多いでしょう。
このツールを使用すればRDPに関するログのみが自動抽出&保存されるので、セキュリティログの読み込みや絞り込み検索にかかる時間と手間が省けます。
Windowsイベントログのうち直近の180日分からRDPに関する履歴を抽出し、Cドライブ直下に結果のテキストファイル「RDP_LOG_(日付時刻).txt」を出力します。
2020年版は上記に加えてレジストリ値(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections)を参照し、RDPの有効・無効を結果のテキストファイルに出力します。
当ページ最下部にリンクのあるzip形式の圧縮ファイルをダウンロードし、右クリックのメニューからzipを展開してください。
展開したフォルダにある「drs_tool-rdp (.vbs)」のアイコンをダブルクリックしてください。
表示されるダイアログで「はい」を選択してください。
画面には何も表示されませんが、バックグラウンドで処理が行われます。処理にかかる時間はパソコンの性能やログの量により異なりますが、通常は数秒 ~ 数分ほどで終わるかと思います。
Explorerなどで、コンピュータのCドライブを表示してください。Cドライブ直下に、ファイル名「RDP_LOG_********-******」というログファイルが自動保存されています。(実際のファイルは、ファイル名の*印の部分に日付時刻の数字が表示されます。)
ログファイルは、メモ帳などのテキストエディタで開くことができます。
【見方①】
ログファイルの中身が「RDPのログは存在しませんでした。」という場合は、とりあえず安心です。
(※あくまでRDPに関してのみの結果ですが・・・)
【見方②】
遠隔サポートなどを利用したことがないのにログファイルにRDP関連の記録が存在する場合には、過去に異常や不正があった可能性が考えられますので、より詳細な調査(デジタル・フォレンジック) をおすすめします。
【見方③】
遠隔サポートなどを利用したことがあるが、その時の日付時刻とは違う日時の記録が存在する場合には、とても気味の悪い状態ですので、より詳細な調査(デジタル・フォレンジック) をおすすめします。
※無料ツールはサポート無し、質問も非対応です。
※動作不良や、ご使用によって生じる損害等について、当社は一切の責任を負いません。
※ソースコードを配布しているスクリプト系のツールについては、複製、改変は自由です。