本記事内の画面キャプチャは、使えるねっと公式サイトの内容を引用し、手順説明を目的として利用しています。権利は各提供元に帰属します。
使えるねっとで利用していた「クラウドVPS Windows FX シルバー SSD v3」は、OSがWindows Server 2012 R2のため、2023年10月10日にはマイクロソフトサポート期限を迎えます。VPS移行先を検討した結果、使えるねっとの「クラウドVPS Windows FX ゴールド SSD」(OSはWindows Server 2016)に決めました。本記事では、ゴールドプラン契約完了後、サービス開始~VPSサーバのセキュリティ対策までをまとめました。
この記事は、第1話から既存契約解除までの第5話まであります。
関連記事:(Windows2016移行第1話)FX専用VPSのWindows2012問題
関連記事:(Windows2016移行第2話)クラウドVPS Windows FX ゴールドプラン契約申し込み~契約完了
関連記事:(Windows2016移行第3話)クラウドVPSサービス開始からセキュリティ対策まで
関連記事:(Windows2016移行第4話)MT4環境の構築
関連記事:(Windows2016移行第5話)現行シルバープラン契約解除の手続き
条件
- 新規契約VPS:使えるねっとFX専用VPS
クラウドVPS Windows FX ゴールド SSD
OS:Windows Server 2016 - 端末のOSはWindows10
サービス開始の初期設定
契約完了するとメールにて、件名「FX用VPSサービス開始のご連絡」を受信します。ここにサービス開始までの手順が記載されていますので、まずはこの手順に従って設定を進めます。
リモートデスクトップ接続の準備~接続まで
コントロールパネルにログインします。契約内容が「クラウドVPS Windows FX ゴールド SSD」であることを確認して、[VPS]タブに進むと、パスワードが未設定のため、警告マークが出ています。パスワードの設定に進ます。また、ホスト名とIPアドレスを控えます。画面下の「クレデンシャル編集」でもパスワード変更画面になります。
↓のパスワード設定画面で任意のパスワードを設定します。ここでは最大14文字までしか設定できませんので、14文字以内で複雑な組み合わせで設定します。後ほど、パスワードの設定を14文字以上に再設定します。
リモートデスクトップでサーバに接続します。
端末から[スタート]-[Windowsアクセサリ]-[リモートデスクトップ接続]を起動します。
「オプションの表示」を選択します。
(黒塗りは、シルバー契約時の情報が入っています)
コンピュータ名には先ほど調べたIPv4アドレスを入力します。
ユーザー名は先ほど調べたホスト名と”\administrator”を入力します。
確認画面となるので「接続」を押下します。
パスワード入力画面では、先ほど設定したパスワードを入力して「OK」を押下します。
接続確認となるので「はい」を押下します。
サーバ画面に接続できたら、ひとまずは接続完了です。つづいてセキュリティ対策を行います。
セキュリティ対策作業は個人の判断ですので、取り急ぎ使いたい人は不要ですが、インターネットから誰でもアクセスできるサーバになるので、設定することをおすすめします。
なお、設定変更に関しては本サイトでは一切の責任を負いません。自己責任で行ってください。
セキュリティ設定:Windows更新プログラム適用して最新にする
OSログイン後は、Windows更新プログラムがありますので、「今すぐインストール」を行います。今後は適時自分で適用することになります。必要に応じてOS再起動します。
一回目は下記のようになりましたが、再試行した追加プログラムがダウンロードされました。最新になるまで繰り返します。
OS再起動するとリモートデスクトップ接続できない期間があります。コントロールパネルで画面状況を確認できますので、待てない場合はコンソールを確認します。
セキュリティ設定:グループポリシーの設定その1(アカウントロック)
グループポリシー(gpedit.msc)を起動して、「アカウントロックアウトのポリシー」を開きます。
「アカウントのロックアウトのしきい値」を編集して0回を5回に変更します。これよりその他の項目も自動的に変更されます。
なおリモートデスクトップログイン画面から5回以上間違えても連続リトライ可能であり意図した動きにはなっておりません。
セキュリティ設定:グループポリシーの設定その2(Windows更新プログラムは手動)
Windows更新プログラムは個人の判断で適時適用しますが、意図しないタイミングで適用されてOSが再起動されてしまうのは困ります。手動で適時Windows更新プログラムを実施する条件で、下記3カ所の設定を変更します。
セキュリティ設定:pingの無効
自分の端末から、VPSのIPに向けてpingコマンドを打つと応答があります。これでは、攻撃者から狙われやすいので、pingの応答は無効にします。なお、再掲載となりますが、設定変更は自己責任で行ってください。
コントロールパネルから「Windowsファイアウォール」を起動して、「詳細設定」に進みます。
「受信の規則」を選択して、下記2つの設定を無効化します。
ICMPv4の設定例です。
「接続を許可する」→「接続をブロックする」にします。
設定後に改めてpingコマンドを実行すると、要求タイムアウトになりました。
セキュリティ設定:IPv6の無効
IPv6は未使用なので、不要なものは閉じることにします。コントロールパネルからネットワーク接続にすすんで、2つのイーサネットそれぞれ無効にします。
Virtuozzo VirtIO Etherenet AdapterのIPv4ではプライベートIPアドレスが設定されています。IPv6はチェックを外して「OK」にします。
Virtuozzo VirtIO Etherenet Adapter#2のIPv4ではグローバルIPアドレスが設定されています。IPv6はチェックを外して「OK」にします。
セキュリティ設定:リモートデスクトップ接続のポート番号変更
リモートデスクトップ接続するためのサーバ側待ち受けポート番号は、3389番ポートになっています。このポート番号では攻撃者に狙われやすいので、別のポート番号に変更します。番号は明記しませんので、任意の番号を決めて設定してください。接続に影響がありますので、設定変更は自己責任で行ってください。
まずコントロールパネルにて、VPSのファイアウォールに設定追加します。
ルール追加します。デフォルトではリモートデスクトップ(TCP 3389番)が許可されています。
ルール名を入力して、ローカルポートに決めた任意の番号の数値を入力して「追加」を押します。
次にVPSサーバ上の設定に進みます。コントロールパネルから「Windowsファイアウォール」を起動します。続いて「受信の規則」-「新しい規則」を押下すると、ウィザードが開きますので、規則の種類は”ポート”を選んで「次へ」を押します。
「TCP」を確認して、”特定のローカルポート”に決めた任意の番号を入力して「次へ」を押します。
”接続を許可する”のまま「次へ」を押します。
プロファイルはデフォルトのまま「次へ」を押します。
適当な名前を入力して「完了」を押下します。
ファイアウォールに追加されたことを確認します。
設定が反映されていることを念のために下記コマンドで確認します。
続いて、レジストリエディタ(regedit.exe)を起動して、下記リモートデスクトップのポート番号を3389番から任意の番号に変更して保存終了します。
VPSサーバのOSを再起動します。リモートデスクトップ接続時のコンピュータ欄には、IPアドレスに続いて”:ポート番号”を入力します。
VPSサーバにログインできたら設定変更完了です。
セキュリティ設定:ウィルス対策ソフトウェア導入は見送る
必要であれば、各自で導入することになる。MT4しか起動しないし、VPSサーバ上でブラウザを利用しない自己ルールとするので、導入は見送る。
セキュリティ設定:管理者権限のパスワード文字数14文字以上に設定する
管理者Administratorのアカウント名、コントロールパネルで操作できるユーザ名として紐付けられているようで、変更はできないようです。
アカウント名のセキュリティ対策はできないので、パスワードの複雑さで対応します。通常の設定では14文字までしか設定できません。過去のOSの名残があるように思います。
次の設定方法で、14文字以上のパスワードが設定可能なので、再設定します。
コントロールパネルからコンソールを開きます。続いて「Ctrl+Alt+Delを送信」を押します。パスワード入寮画面になるので、初期設定したパスワードを入力してログインします。
ログイン後に再度「Ctrl+Alt+Delを送信」を押します。「パスワードの変更」を選択します。
古いパスワードの欄、その下に新しいパスワードの欄がありますので、それぞれ設定して変更します。
スクロールバーを下にすると、新しいパスワード欄が見えます。
パスワードの変更ができたら「OK」を押下します。
リモートデスクトップ接続で、新しく設定したパスワードでログインできることを確認します。
以上でOSに関する設定・セキュリティ設定が完了です。必要に応じてその他設定も行ってください。
第4話ではMT4の環境をセットアップします。