|
|
Windows NTのデフォルトでは、パスワードのポリシーが厳しく設定されていません。このため管理者や一般ユーザーが簡単なパスワードを設定したり、パスワードをまったく設定しないということが可能になっています。これにより不正侵入者にパスワードを推測されたり、容易な侵入を許す危険性があります。
パスワードが適切に設定されている場合でも、侵入者は適当なパスワードを繰り返し入力することでパスワードを推測するか、ネットワーク上を流れるパケットを収集しそこからパスワードを解析するような攻撃を行う可能性がありますが、これらのアタックへの対策は「アカウントロックアウトの設定」ならびに「下位LM互換の制限」を行うことで可能です。
次のいずれかの方法により、パスワード設定に関連した機能を有効にすることができます。
「ドメインユーザーマネージャー」を起動後、「原則」から「アカウント」を選択し、「アカウントの原則」ダイアログで以下を設定します。
パスワードの一意性
パスワードの長さ
パスワードの変更禁止期間
パスワードの有効期間
パスワード変更にはログオンが必要
「アカウントポリシー」の中の「パスワードポリシー」で以下を設定します。
パスワードの一意性を保つために記録する
パスワードの長さ
パスワードの変更禁止期間
パスワードの有効期間
ユーザーがパスワードを変更するにはログオンが必要
サービスパック 2 以降では、より強力なパスワードを強制することができるフィルタが付属しています。このフィルタ(passfilt.dll)を使うことでユーザーに6文字以上の文字列で、小文字、大文字のアルファベット、記号、数字の4つのクラスの中から最低3つのクラスをパスワードに含めることを強制することができます。(このフィルタはユーザーがパスワード変更を行う際に有効になります。管理者がドメインユーザーマネージャ等から直接パスワードの設定を行う場合にフィルタは有効になりません)
パスワードフィルタの設定は、次のいずれかの方法で行なうことができます。
*レジストリを編集する前には、必ずバックアップを行ってください。
「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。
| Key | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa |
| Name | Notification Packages |
| Type | REG_MULTI_SZ |
| Value | PASSFILT |
パスワードフィルタを有効にする場合は、値に「PASSFILT」を設定します。「Notification Packages」に「FPNWCLNT」など他の値がすでに設定されている場合には、リストに「PASSFILT」の値を追加します。この設定は全てのドメインコントローラで行われる必要があります。
「アカウントポリシー」の中の「パスワードポリシー」で以下を「有効」にします。
パスワードはインストールされているパスワードのフィルタが要求する複雑さを満たす
SCM
からこの設定を「有効」にしただけでは、レジストリで「PASSFILT」を設定した場合と同等の効果は得られません。
「パスワードはインストールされているパスワードのフィルタが要求する複雑さを満たす」を「有効」にした場合パスワードの設定や変更時に大文字と小文字の混在、もしくは数字や特殊文字を含むパスワードを設定しなければならないようになります。SCM
の設定だけでは、「PASSFILT」を有効にした場合と異なりパスワードに
6 文字以上の文字列は要求されません。
ユーザーのパスワード変更の際に「PASSFILT」の効果を得たい場合には、レジストリ設定が別途必要になります。
SCM とレジストリの両方で設定がなされている場合には、パスワード設定の際には「パスワードはインストールされているパスワードのフィルタが要求する複雑さを満たす」の効果が、パスワードの変更の際には「PASSFILT」の効果を得ることができます。