Windows 2000のデフォルトでは、パスワードのポリシーが厳しく設定されていません。このため管理者や一般ユーザーが簡単なパスワードを設定したり、パスワードをまったく設定しないということが可能になっています。これにより不正侵入者にパスワードを推測されたり、容易な侵入を許す危険性があります。
パスワードが適切に設定されている場合でも、侵入者は適当なパスワードを繰り返し入力することでパスワードを推測するか、ネットワーク上を流れるパケットを収集しそこからパスワードを解析するような攻撃を行う可能性がありますが、これらのアタックへの対策は「アカウントロックアウトの設定」ならびに「下位LM互換の制限」を行うことで可能です。
次のいずれかの方法により、パスワード設定に関連した機能を有効にすることができます。
「アカウントポリシー」の中の「パスワードのポリシー」で以下を設定します。
パスワードの長さ
パスワードの変更禁止期間
パスワードの有効期間
パスワードの履歴を記録する
パスワードは要求する複雑さを満たす
暗号化を元に戻せる状態でドメインのすべてのユーザーのパスワードを保持する
Windows
2000には、より強力なパスワードを強制することができるポリシーが付属しています。NT
4.0の時に提供されていた「PASSFILT.DLL」はWindows
2000では提供されていません。
変わりにポリシーを使うことで、ユーザーに3文字以上の文字列で、小文字、大文字のアルファベット、記号、数字の4つのクラスの中から最低3つのクラスをパスワードに含めることを強制することができます。(このフィルタはユーザーがパスワード変更を行う際や、管理者が管理ツールから直接パスワードの設定を行う場合際に有効になります)
強力なパスワードポリシーの設定は、次のいずれかの方法で行なうことができます。
「アカウントポリシー」の中の「パスワードのポリシー」で以下を「有効」にします。
パスワードは要求する複雑さを満たす
Windows
2000の場合、ポリシーの設定だけではNT
4.0で「PASSFILT」を有効にした場合と異なり、パスワード長に
6 文字以上の文字列は要求されません。このため、パスワード長に関しては「アカウントポリシー」の「パスワードの長さ」を8文字以上などに設定しておく必要があります。
このページに掲載されている情報と登録商標について。
