2.2.4 パスワードのセキュリティ設定

(1) 設定の内容

パスワード自体に制限を設けることで、セキュリティをより強固なものにします。
本書では、次の7つの項目を設定します。

• パスワードの長さの制限
• パスワードの有効期間
• パスワードの履歴を記録する
• パスワードは要求する複雑さを満たす
• アカウントロックアウトのしきい値
• ロックアカウントのリセット
• ロックアカウントの期間

それぞれの設定は、Windowsのスタートメニュから、 [スタート]-[設定]-[コントロールパネル]で、表示された画面の「管理ツール」 をダブルクリックします。そして、「ローカル セキュリティ ポリシー」 のアイコンをダブルクリックします。すると、「ローカル セキュリティ設定」 画面が表示されます。この画面の、「アカウント ポリシー」の設定に、 上記の項目が含まれています。
ただし、ドメインコントローラを使用する場合、ここで設定する ローカルポリシーより「ドメインコントローラ セキュリティ ポリシー」が優先されます。
操作はローカルセキュリティポリシーの設定と同様で、Windowsのスタートメニュから、 [スタート]-[設定]-[コントロールパネル]で、表示された画面の「管理ツール」 をダブルクリックします。そして、「ドメインコントローラ セキュリティポリシー」 のアイコンをダブルクリックします。

(2) パスワードの長さの制限

パスワードの長さを設定することで、ユーザの設定したパスワードが、 短くて簡単なものになることを防ぐことができます。特にデフォルトでは、 パスワードの指定を「なし」とすることが可能なため、 この項目の設定は必須です。

1. ローカル セキュリティ設定画面から、「アカウントポリシー」を選択し、 その中の「パスワードのポリシー」を選択します。
2. パスワードのポリシーの中にある、 「パスワードの長さ」をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、制限文字数を指定します。
   文字数が多くなればなるほど、セキュリティが厳しくなります。 反対に、長すぎると利用者がパスワードを忘れる可能性があり、 逆効果となるかもしれません。
   0を指定すると、パスワードなしを許可することになり非常に危険です。
   
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

(3) パスワードの有効期間

パスワードの有効期間を指定することで、利用者に対して、 定期的なパスワードの変更を実施させることができます。
新しいパスワードを常に使うことによって、 パスワード推定による不正アクセスを未然に防ぐことができます。 ただし、この機能は「パスワードの履歴を記録する」 と併用することが必須といえます。

1. ローカル セキュリティ設定画面から、「アカウントポリシー」を選択し、 その中の「パスワードのポリシー」を選択します。
2. パスワードのポリシーの中にある、「パスワードの有効期間」 をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、有効期限を指定します。
   有効期間が短すぎると、利用者がパスワードを忘れる可能性があり、 逆効果となるかもしれません。
   また、0を指定すると、パスワードを無期限にすることになり非常に危険です。
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

なお、「ドメイン コントローラ セキュリティ ポリシー (非ドメインコントローラはローカルセキュリティポリシー)」にて、 パスワードの期限が切れる前に、 その変更を促すメッセージを表示することができます。
「セキュリティ オプション」にある、 「パスワードが無効になる前にユーザに変更を促す」で設定します。

(4) パスワードの履歴を記録する

パスワードの履歴を記録し、同じパスワードを何度も使用することによって、 結果的に古いパスワードのままになる問題を、回避することができます。
ただし、この機能は「パスワードの有効期間」と併用することが必須といえます。

1. ローカル セキュリティ設定画面から、「アカウントポリシー」を選択し、 その中の「パスワードのポリシー」を選択します。
2. パスワードのポリシーの中にある、 「パスワードの履歴を記録する」をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、履歴をとるパスワード数を指定します。
   有効期間が短すぎると、利用者がパスワードを忘れる可能性があり、 逆効果となるかもしれません。
   また、0を指定すると、パスワードを無期限にすることになり非常に危険です。
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

(5) パスワードは要求した複雑さを満たす

この機能によって、ユーザが設定すパスワードが、 簡単で推測されやすくなる問題を回避できます。
有効にすると、パスワード文字列中に、数字・大文字・小文字が、 それぞれ1字以上含まれることが必要になります。

1. ローカル セキュリティ設定画面から、「アカウントポリシー」を選択し、 その中の「パスワードのポリシー」を選択します。
2. パスワードのポリシーの中にある、「パスワードは要求した複雑さを満たす」 をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、有効を選択します。
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

(6) アカウントロックアウトのしきい値

この機能によって、何度もパスワードを入れてパスワードを推測し、 不法アクセスが行われることを防ぐことができます。ここで指定する値は、 ログオンに失敗できる回数です。「ロックアカウントのリセット」 と併用することが望まれます。

1. ローカル セキュリティ設定画面から、「アカウント ポリシー」を選択し、 その中の「アカウント ロックアウトのポリシー」を選択します。
2. アカウント ロックアウトのポリシーの中にある、 「アカウントのロックアウトのしきい値」をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、アカウントのロックアウト回数を指定します。
   回数が多すぎると、逆効果となるかもしれません。
   また、0を指定すると、ロックアウトをしない設定になり非常に危険です。
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

(7) ロックアカウントのリセット

1. ローカル セキュリティ設定画面から、「アカウント ポリシー」を選択し、 その中の「アカウント ロックアウトのポリシー」を選択します。
2. アカウント ロックアウトのポリシーの中にある、「ロックアウトのリセット」 をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、 ロックアウトのカウントリセット時間を指定します。
   
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

(8) ロックアカウントの期間

この機能は、実際にロックアウトを行う期間を指定します。

1. ローカル セキュリティ設定画面から、「アカウント ポリシー」を選択し、 その中の「アカウント ロックアウトのポリシー」を選択します。
2. アカウント ロックアウトのポリシーの中にある、「ロックアカウントの期間」 をダブルクリックします。
3. 「ローカル セキュリティ ポリシーの設定」画面が表示されます。
4. ローカルポリシーの設定欄で、ロックアカウントの期間を指定します。
   
5. 指定したら、OKボタンを押下し、「ローカル セキュリティ ポリシーの設定」 画面を閉じます。
6. 設定を反映するために、「ローカル セキュリティ設定」画面を閉じます。

    Copyright(C)  2001 Information-technology Promotion Agency, Japan.  All rights reserved.