WindowsServerでRDPにIP制限をかけてみる

普段はLinuxサーバーを主に触っている僕ですが、勉強のために「さくらのVPS for Windows Server」を契約してみました。特に明確な用途はなく、純粋な興味からです。

OSのインストールを終え、一度ログインしたきり放置していたのですが、数日後、リモートデスクトップ(RDP)接続を試みると、アカウントがロックされてログインできないという事態に陥りました。

今回は、このアカウントロックの原因と、その対策としてWindows Server標準のファイアウォール機能を使ってRDP接続にIPアドレス制限をかける手順を備忘録としてまとめます。

この記事の前提環境

この記事で解説する手順は、以下の環境に基づいています。

  • ベンダー: さくらのVPS
  • OS: Windows Server 2025
  • 接続方法: リモートデスクトップ (RDP)
  • スペック: さくらのVPS推奨プラン

アカウントロックの原因は「総当たり攻撃」

なぜアカウントがロックされたのか。原因は、RDPに対して行われる、botによるパスワードの総当たり攻撃でした。デフォルトのユーザー名に対し、手当たり次第にパスワードを試して不正ログインを試みるアクセスが大量に発生し、OSのセキュリティ機能によってアカウントがロックされてしまったのです。

LinuxサーバーではSSHの鍵認証やrootログイン禁止を徹底しており、総当たり攻撃は日常茶飯事として対策済みでした。しかし、RDPをインターネットに直接公開した経験がなかったため、そのリスクを完全に見落としていました。

結局、アカウントロックの解除方法がわからず、OSを再インストールする羽目になりました。

解決策:Windows Defender ファイアウォールでIPを制限する

さくらのVPSの管理画面には、Linuxプランにあるようなパケットフィルタ機能が見当たりませんでした。

RDPのポート番号を変更するなど、対策は他にもいくつかあるようですが、正直やり方がよくわからなかったので、今回は僕でも簡単に設定できたWindows Server標準搭載の「Windows Defender ファイアウォール」を使い、特定のIPアドレスからのみRDP接続を許可するように設定します。

【実践】ファイアウォール設定の手順

ここからは、具体的な設定手順を解説します。

注意: 既にアカウントがロックアウトされている場合は、この手順は実行できません。OSの再インストールなどを検討してください。

ファイアウォール管理画面を開く

まず、RDPでWindows Serverにログインします。

次に、検索ウィンドウに「wf.msc」と入力し、「セキュリティが強化された Windows Defender ファイアウォール」を起動します。

新しい受信規則の作成

ファイアウォールの設定は、サーバーへのアクセスを制御するため、「受信の規則」に対して行います。

  1. 左ペインで「受信の規則」を選択します。
  2. 右ペインの「操作」から「新しい規則」をクリックします。

規則の種類の選択

  1. 「規則の種類」では、「ポート」を選択して「次へ」進みます。

  1. 「プロトコルおよびポート」の画面で、以下のように設定します。
    • TCP」を選択します。
    • 特定のローカル ポート」を選択し、RDPのポート番号である「3389」を入力します。

操作とプロファイルの選択

  1. 「操作」の画面では、「接続を許可する」を選択します。

  1. 「プロファイル」の画面では、「ドメイン」「プライベート」「パブリック」のすべてにチェックが入っていることを確認し、「次へ」進みます。

規則に名前をつける

最後に、作成する規則にわかりやすい名前をつけます。ここでは「RDP接続」とします。

「完了」ボタンをクリックすると、この時点ではまだIPアドレスが指定されていない、RDPポートへの接続を許可する規則が作成されます。

接続元IPアドレスの指定

ここからが本番のIPアドレス制限の設定です。

  1. 「受信の規則」の一覧から、先ほど作成した規則(例:「RDP接続」)を探し、ダブルクリックしてプロパティ画面を開きます。

  1. プロパティ画面の「スコープ」タブを選択します。
  2. リモート IP アドレス」の項目で、「これらの IP アドレス」を選択し、「追加」ボタンをクリックします。

  1. この IP アドレスまたはサブネット」の欄に、RDP接続を許可したいご自身のグローバルIPアドレスを入力し、「OK」をクリックします。固定IPアドレスが決まっている場合は、そのIPアドレスを入力するだけで十分です。

まとめ

この設定を適用することで、指定したIPアドレス以外からのRDP接続はすべて拒否されるようになり、冒頭で述べたような総当たり攻撃によるアカウントロックは発生しなくなります。

Linuxの常識が通用せず、思わぬところで躓いてしまいましたが、Windows Serverでも標準機能で堅牢なセキュリティ対策が可能でした。Windows Serverをインターネットに公開する際は、まずはじめにRDPのIP制限を行うことを強くお勧めします。

個人支援・寄付について

サイトラボでは個人支援・寄付を受けております。ご協力いただける方はお願いいたします。当サイトではビットコインで受け付けております。

  • ビットコイン:3LHnADwZwUbic2L45EnVJEykiG6KfbqrwS