パスワードの構文ルール

パスワードには、数字、文字、および特殊文字 (+、-、;など) を含めることができ ます。ただし、新しいパスワードを発行するときは、ALT + <文字> キーの組み合わ せを使用する文字を使用しないでください。この入力モードは、SafeGuard Power-On Authentication では使用できません。システムへのログオンに使用するパスワードの ルールは、「パスワード」タイプのポリシーで定義します。

注

強力なパスワードポリシーを施行する詳細は、セキュリティのベストプ

(p. 6) および「

認証取得のための操作マニュ アル

英語

」を参照してください。

SGN 資格情報プロバイダを一貫して使用していない限り、パスワードのルールや履 歴の施行は保障されません。パスワードのルールは、SafeGuard Management Center

かActive Directory のいずれか 1つのみで定義してください。

説明 ポリシー設定

パスワード

ユーザーがパスワードを変更するときに、パスワー ドが何文字から構成される必要があるかを指定しま パスワードの最小の長さ

す。必要な値を直接入力するか、矢印ボタンを使用 して数字を増減します。

ユーザーがパスワードを変更するときに、パスワー ドを最大何文字で構成できるかを指定します。必要 パスワードの最大の長さ

な値を直接入力するか、矢印ボタンを使用して数字 を増減します。

これらの設定は、パスワードが文字のみ、数字の み、または特殊文字のみで構成されることは許可さ 文字の最小数

数字の最小数

れず、少なくとも 2つの組み合わせで構成される必 特殊文字の最小数 要があることを指定します (15flower など)。ここで の設定は、最小パスワード長を 2より大きく定義し た場合のみに有効です。

説明 ポリシー設定

この設定は「禁止パスワードの一覧を使用する」お よび「パスワードと同じユーザー名を禁止する」の みで有効です。

例 1:禁止パスワードの一覧に「board」と入力しま した。「大文字と小文字を区別する」オプションを 大文字と小文字を区別する

「はい」に設定すると、大文字/小文字が異なる PIN (BOARD や BoaRD など) は承諾されず、ログオンが 拒否されます。

例 2:ユーザー名として「EMaier」を入力しました。

「大文字と小文字を区別する」オプションを「は い」に設定し、「パスワードと同じユーザー名を禁 止する」オプションを「いいえ」に設定すると、

ユーザー EMaier は大文字/小文字を変更したユー

ザー名 (「emaier」や「eMaiER」など) をパスワード として使用できません。

連続するキー シーケンスとは、「123」や「qwe」

などです。キーボード上に左右にある最大 2文字を キーボード行を禁止する

入力できます。連続するキー シーケンスは、キー ボードの英数字部分のみを指します。

「zaq1」、「xsw2」、「3edc」など、キーボード上 で列として連続するキーを指します (「zse4」、

キーボード列を禁止する

「xdr5」、「cft6」は違います)。単一のキーボード 列内の上下にある最大 2文字を入力できます。キー ボード列を禁止すると、これらのような組み合わせ はパスワードとして拒否されます。連続するキー シーケンスは、キーボードの英数字部分のみを指し ます。

このオプションを有効にすると、次のキー シーケ ンスが禁止されます。

3文字以上の連続する文字を 禁止する

■ 昇順と降順の両方の連続するASCII コード シン ボル (「abc」、「cba」、「;<」など)

■ 3文字以上の同じシンボル (「aaa」や「111」) ユーザー名とパスワードを同じにできるかどうかを 指定します。

はい:Windows ユーザー名とパスワードは違うもの

にする必要があります。

パスワードと同じユーザー名 を禁止する

説明 ポリシー設定

いいえ:ユーザーは、パスワードとしてWindows ユー

ザー名を使用することができます。

パスワードとして特定の文字列を使用できないよう にするかどうかを指定します。文字列は、禁止パス ワードの一覧 (.txt ファイルなど) に保存されます。

禁止パスワードの一覧を使用 する

パスワードで使用できないようにする文字列を定義 します。ユーザーが禁止パスワードを使用すると、

エラー メッセージが表示されます。

SafeGuard Management Center のポリシー ナビゲー ション ペインの「情報テキスト」で、禁止するパ 禁止パスワードの一覧

スワードの一覧を登録する必要があります。一覧は 登録後のみに使用できます。

最大ファイル サイズ:50 KB 対応している形式:Unicode 禁止パスワードを定義する

一覧内で、禁止パスワードは、改行によって区切り ます。ワイルドカード:ワイルドカード文字「*」は、

パスワードで 1文字以上の任意の文字列を表しま す。したがって、*123* は、123 を含むすべての文 字列がパスワードとして禁止されることを意味しま す。

注:

■ 一覧にワイルドカードのみが含まれる場合、パ スワードの変更を強制された後にユーザーはシ ステムにログオンできなくなります。

■ ユーザーにこのファイルへのアクセスを許可し ないでください。

■ 「禁止パスワードの一覧を使用する」オプショ ンを有効にする必要があります。

このフィールドは、複数の SafeGuard Enterprise エン ドポイントを操作し、それらのエンドポイントの 他の SGN クライアントへの

ユーザーのパスワード同期

ユーザーとして定義されているユーザーがパスワー ドを変更した場合に、パスワードを同期させる手順 を指定します。以下のオプションから選択できま す。

説明 ポリシー設定

■ 低速 (ユーザーのログオンを待機)

ユーザーが SafeGuard Enterprise エンドポイント でパスワードを変更し、そのユーザーが登録さ れている別のエンドポイントにログオンしよう とする場合、まず SafeGuard Power-on

Authentication で古いパスワードを使用してログ オンする必要があります。パスワードの同期は、

まず古いパスワードを使用してログオンした後 のみに実行されます。

■ 高速 (マシンの接続を待機)

ユーザーが SafeGuard Enterprise エンドポイント でパスワードを変更する場合、そのユーザーが 登録されている別のエンドポイントとのパスワー ドの同期は、別のエンドポイントがサーバーへ の接続を確立するとただちに実行されます。た とえば、エンドポイントのユーザーとして登録 されている別のユーザーが、その間にエンドポ イントにログオンした場合などです。

変更

パスワードを変更できない期間を指定します。この 設定は、ユーザーが一定の期間内に頻繁にパスワー パスワードの変更を許可する

までの日数

ドを変更することを防止します。ユーザーが Windows によってパスワードの変更を強制された場 合や、数日後にパスワードの期限が切れることを知 らせる警告メッセージが表示された後でユーザーが パスワードを変更した場合、この設定は評価されま せん。

例:

ユーザー Miller が新しいパスワード (たとえば

「13jk56」) を定義します。このユーザー (またはこ のユーザーが割り当てられたグループ) の最小変更 間隔は 5日間に指定されています。2日後、このユー ザーはパスワードを「3jk56」に変更しようとしま す。ユーザーは 5日間が経過するまで、新しいパス ワードを定義できないため、このパスワードの変更 は拒否されます。

説明 ポリシー設定

最大有効期間を有効にすると、ユーザーは、設定さ れた期間が経過すると新しいパスワードを定義する 必要があります。

パスワードが期限切れになる までの日数

パスワードの有効期限が切れる「n」日前に警告メッ セージが表示され、ユーザーに「n」日が経過する 期限切れの通知日数 (日前)

前にパスワードを変更するように促します。また は、ユーザーは、パスワードをすぐに変更すること もできます。

全般

パスワードを入力する際、入力した内容を非表示に するかを指定します。

エントリを非表示にする

以前に使用したパスワードをいつ再び使用できるよ うになるかを指定します。履歴の長さは「パスワー パスワード履歴の長さ

ドが期限切れになるまでの日数」の設定と組み合わ せて定義してください。

例:

ユーザー Miller に対して、パスワード履歴の長さを

4、ユーザーがパスワードを変更しなければならな い日数として 30日後が指定されています。ユーザー Miller は、現在、パスワード「Informatics」を使用 してログオンしています。期限の 30日が経過する と、ユーザー Miller に対してパスワードの変更が求 められます。ユーザー Miller は、新しいパスワード

として「Informatics」と入力しますが、このパスワー

ドはすでに使用されているので新しいパスワードを 入力する必要があることを示すエラー メッセージ が表示されます。ユーザー Miller は 4回目のパスワー ド変更要求後まで (つまり、パスワード履歴の長さ が 4)、パスワード「Informatics」を使用することは できません。