- 公開日
- 最終更新日
【セキュリティ対策】Amazon WorkSpaces でコピペ・キャプチャを防止
この記事を共有する
目次
はじめに
パーソル&サーバーワークスの 梅津 です。
AWSを中心としたクラウドインフラの設計・構築・運用を担当しています。
本ブログは下記の方に向けたブログとなっております。
- Amazon WorkSpaces を Active Directory と連携させて使用している
- Amazon WorkSpaces Personal における Windows ワークスペースを DCV プロトコルで使用している
- Windows ワークスペース上での作業について、情報流出を防ぐためにコピー&ペーストや画面キャプチャを禁止にしたい
本ブログでは、 Amazon WorkSpaces Personal で Windows ワークスペースを使用している場合に、情報流出を防ぎセキュリティを強化するために、コピー&ペーストや画面キャプチャを不可にする方法を記載しております。
結論
Amazon WorkSpaces 自体には、コピー&ペーストや画面キャプチャを禁止にするための設定は本ブログ執筆時点で用意されておりません。
しかし、Windows ワークスペースであれば、Active Directory の Group Policy Object (以下、GPO)による制御をすることで、コピー&ペーストや画面キャプチャを禁止することができます。
詳細な設定方法は以下でご説明いたします。
なお、 GPO の詳細な作り方や Organizational Unit (以下、OU)への適用方法については各組織ごとに異なる部分が多いため、本ブログでは説明は省略し作成の際の注意点のみ記載いたします。
設定方法
本ブログでは AWS 公式ドキュメント「 Windows ワークスペース を WorkSpaces Personal で管理する」を用いてご説明いたします。
1. DCV 用のグループポリシー管理テンプレートファイルの取得
Active Directory の GPO で Windows ワークスペースを制御するためには、使用しているプロトコルである DCV 用のグループポリシーを作成する必要があります。
GPO で DCV を制御するためには、Windows ワークスペース(仮想デスクトップ側)にあらかじめ配置されている下記の DCV 用グループポリシー管理テンプレートファイルの2つを Active Directory に配置する必要があります。
- wsp.admx
- wsp.adml
DCV 用グループポリシー管理テンプレートファイルを取得する方法は下記の通りです。
(1) Windows ワークスペースを起動します
(2) 起動した Windows ワークスペースにてエクスプローラーを起動し、下記にアクセスします
C:\Program Files\Amazon\WSP
※Cドライブはエクスプローラー上に表示されないため、上記を直接入力してアクセスしてください
(3) アクセス先に DCV 用グループポリシー管理テンプレートファイルの下記がありますので、こちらをこの後の手順でも使用します
- wsp.admx
- wsp.adml
2. DCV 用のグループポリシー管理テンプレートファイルを Active Directory に配置
Windows ワークスペース上で確認した DCV 用グループポリシー管理テンプレートファイルを Active Directory に配置する際、 Windows ワークスペースが配置先の Active Directory 管理下にある場合、 Windows ワークスペース上から配置が可能です。
※アカウントの権限などで下記の手順ができない場合は、 DCV 用グループポリシー管理テンプレートファイルを一度ローカル PC にコピーしてから、 Active Directory に配置するなどを実施してください
Windows ワークスペース上で Active Directory に配置する方法は下記の通りです。
(1) Windows ワークスペース上のエクスプローラーで下記にアクセスします
\\組織のFQDN
※例:\\example.com
(2) 「SYSVOL」フォルダを開きます
(3) FQDN 名のフォルダを開きます
(4) 「Policies」フォルダを開きます
(5) 「PolicyDefinitions」フォルダを開きます
※フォルダが無い場合は、この名前で新規作成します
(6)「PolicyDefinitions」フォルダ配下に「wsp.admx」ファイルを配置します
(7) 「en-US」フォルダを開きます
※フォルダが無い場合は、この名前で新規作成します
(8) 「en-US」フォルダ配下に「wsp.adml」ファイルを配置することで完了となります
最終的なファイル配置は以下のようになります。
\\ 組織のFQDN \ SYSVOL \ FQDN \ Policies
└── PolicyDefinitions
├── wsp.admx
└── en-US
└── wsp.adml
3. コピー&ペーストを禁止にする GPO を作成する
ここまでの手順にて DCV 用のグループポリシーを作成できるようになりましたので、まずは Windows ワークスペースとローカル PC との間でコピー&ペーストをできなくする GPO を作成します。
Active Directory 上にてグループポリシー管理エディターから下記を開きます。
「コンピューターの構成」 > 「ポリシー」 > 「管理用テンプレート」 > 「Amazon」 > 「WSP」
「WSP」内の「Configure clipboard redirection」がコピー&ペーストを禁止にする設定になります。
コピー&ペーストを完全に禁止する場合は、この設定を「無効」にします。
コピー&ペーストの許可または一部のみ許可をしたい場合は、この設定を「有効」にし、オプションを下記のいずれかに設定します。
| オプション | 許可される動作 |
|---|---|
| Copy and Paste | Windows ワークスペースとローカル PC の間のコピー&ペーストを許可 |
| Copy Only | Windows ワークスペースでコピーし、ローカル PC にペーストする動作のみ許可 |
| Paste Only | ローカル PC でコピーし、 Windows ワークスぺースにペーストする動作のみ許可 |
4. 画面キャプチャを禁止にする GPO を作成する
続いては、 Windows ワークスペース上の画面キャプチャをできなくする GPO を作成します。
Active Directory 上にてグループポリシー管理エディターから先ほどと同じく下記を開きます。
「コンピューターの構成」 > 「ポリシー」 > 「管理用テンプレート」 > 「Amazon」 > 「WSP」
「WSP」内の「Configure Screen Capture Protection」が画面キャプチャを禁止にする設定になります。
この設定を有効にして、画面キャプチャを禁止に設定します。
5. 作成した GPO を Windows ワークスペースに適用する
作成した GPO は「コンピューターの構成」で作成しているため、 Windows ワークスペースに適用するには、この GPO が割り当てられている OU にユーザーではなくコンピューターを追加する必要があります。
Windows ワークスペースのコンピューター名については、 Amazon WorkSpaces のマネジメントコンソール上にて確認ができます。
※ Windows ワークスペースのコンピューター名についての詳細はこちらの AWS 公式ドキュメントをご参照ください
なお、実際に GPO が適用されたかを確認する際は、コマンドプロンプトを管理者として実行したうえで、「gpresult /R」コマンドを実行することにより、対象の GPO が適用されていることを確認できます。
対象の GPO が適用されていることを確認できましたら、 Windows ワークスペースでのコピー&ペーストや画面キャプチャ禁止の設定は完了となります。
最後に
Amazon WorkSpaces は手軽に仮想デスクトップ環境を使うことができる一方で、情報の持ち出しや漏洩に気を付ける必要があります。
今回ご紹介した手順で簡単にそれらを防止する一手を打てますので、まだ設定されていない方は、セキュリティ対策の一環としての実施をおすすめいたします。
この記事は私が書きました
梅津 純一
記事一覧一番好きな食べ物は生のねぎです。 元ネットワークエンジニアのAWSエンジニア
