パスワードのセキュリティ設定

  パスワード自体に制限を設けることで、セキュリティをより強固なものにします。

  本書では、次の7つの項目を設定します。

・パスワードの長さの制限

・パスワードの有効期間

・パスワードの履歴を記録する

・パスワードは要求する複雑さを満たす

・アカウントロックアウトのしきい値

・ロックアウトカウントのリセット

・ロックアウト期間

  パスワードの設定は、以下の手順で行います。

1.「スタート」メニューの「設定」−「コントロールパネル」を選択します。

2.「管理ツール」を実行し、その後「ローカルセキュリティポリシー」を実行します。

3.「アカウントポリシー」の下の「パスワードのポリシー」を選択します。

画面04：「パスワードのポリシー」の設定画面

  ただし、ドメインコントローラを使用する場合、ここで設定するローカルポリシーより「ドメインコ ントローラ セキュリティ ポリシー」が優先されます。

  操作はローカルセキュリティポリシーの設定と同様で、「ローカルセキュリティポリシー」の代わり に「ドメインコントローラセキュリティポリシー」を実行します。

■パスワードの長さの制限

  「パスワードの長さ」を設定することで、ユーザの設定したパスワードが、短くて簡単なものになる ことを防ぐことができます。とくにデフォルトでは、パスワードの指定を「なし」とすることが可能な ため、この項目の設定は必須です。

1.「パスワードの長さ」を実行します。

2.「パスワードの長さのプロパティ」画面が表示されます。

3.ローカルポリシーの設定欄で、最低文字数を指定します。文字数が多くなればなるほど、セキュリテ ィが高くなります。反対に長すぎると、利用者がパスワードを忘れる可能性があります。なお、「0」を 指定すると、パスワードなしを許可することになり非常に危険です。

4.指定したら、「OK」を選択します。

■パスワードの有効期間

  パスワードの有効期間を指定することで、利用者に対して定期的なパスワードの変更を実施させるこ とができます。

  新しいパスワードを常に使うことによって、パスワード推定による不正アクセスを未然に防ぐことが できます。ただし、この機能は「パスワードの履歴を記録する」と併用することが必須となります。

1.「パスワードのポリシー」の「パスワードの有効期間」を実行します。

2.「パスワードの有効期間のプロパティ」画面が表示されます。

3.ローカルポリシーの設定欄で、有効期限を指定します。有効期間が短すぎて頻繁に変更するようにし た場合、利用者がパスワードを忘れる可能性があり、逆効果となります。また、「0」を指定すると、パ スワードを無期限にすることになり非常に危険です。

4.指定したら、「OK」を選択します。

  なお、パスワードの期限が切れる前に、その変更を促すメッセージを表示することができます。「ロ ーカルポリシー」の「セキュリティオプション」にある、「対話型ログイン：パスワードが無効になる 前にユーザに変更を促す」で設定します。

画面05：パスワードの期限が切れる前の、メッセージ表示期間を設定

■パスワードの履歴を記録する

  パスワードの履歴を記録すると、同じパスワードを何度も使用することによって、結果的に古いパス ワードのままになる問題を回避することができます。

  ただし、この機能は「パスワードの有効期間」と併用することが必須となります。

1.「パスワードのポリシー」にある、「パスワードの履歴を記録する」を実行します。

2.「パスワードの履歴を記録するのプロパティ」画面が表示されます。

3.履歴をとるパスワード数を指定します。履歴が大きすぎると、利用者がパスワードを忘れる可能性が あり、逆効果となるかもしれません。また、「0」を指定すると、パスワードを履歴をとらないことにな ります。

4.指定したら、「OK」を選択します。

■パスワードは要求する複雑さを満たす

  この機能によって、ユーザが設定するパスワードが、簡単に推測される問題を回避できます。

  有効にすると、パスワード文字列中に、数字・大文字・小文字が、それぞれ1字以上含まれることが 必要になります。

1.「パスワードのポリシー」にある、「パスワードは要求する複雑さを満たす」を実行します。

2.「パスワードは要求する複雑さを満たすのプロパティ」画面が表示されます。

3.「有効」を選択します。

4.指定したら、「OK」を選択します。

■アカウントのロックアウトのしきい値

  この機能によって、パスワードを推測して何度も不正アクセスが行われることを防ぐことができます。

ここで指定する値は、ログインに失敗する回数です。「ロックアカウントのリセット」と併用すること が望まれます。

1.「アカウントのポリシー」にある、「アカウントのロックアウトのしきい値」をダブルクリックします。

2.「アカウントのロックアウトのしきい値のプロパティ」画面が表示されます。

3.アカウントのロックアウト回数を指定します。回数が多すぎると、逆効果となります。また、「0」を 指定すると、ロックアウトをしない設定になり非常に危険です。

4.指定したら、「OK」を選択します。

■ロックアウトカウントのリセット

  この機能では、ロックアウトカウントのリセット期間を指定します。

1.「アカウントロックアウトのポリシー」の中にある、「ロックアウトカウントのリセット」を実行しま す。

2.「ロックアウトカウントのリセットのプロパティ」画面が表示されます。

3.ローカルポリシーの設定欄で、ロックアウトカウントのリセット時間を分単位で指定します。

4.指定したら、「OK」を選択し、「ローカルセキュリティポリシーの設定」画面を閉じます。

5.設定を反映するために、「ローカルセキュリティ設定」画面を閉じます。

■ロックアウト期間

  この機能では、実際にロックアウトを行う期間を指定します。

1.「アカウントロックアウトのポリシー」の中にある、「ロックアウト期間」を実行します。

2.「ロックアウト期間のプロパティ」画面が表示されます。

3.ロックアカウントの期間を分単位で指定します。

4.指定したら、「OK」を選択します。