KENスクールブログ | パソコン教室・パソコン講座なら個別指導のKENスクール

BLOGKENスクールブログ

  1. KENスクール TOP >
  2. KENスクールブログ > ネットワーク > グループポリシーその3

ネットワーク

グループポリシーその3

前回、WindowsServerにおけるグループポリシーの設定、適用のタイミング、継承と上書きについてご紹介しました。

当記事ではグループポリシーのセキュリティポリシーの構成のパスワードのポリシーついてご紹介します。

セキュリティを確保する上で重要となるのが、ユーザーアカウントの認証操作と、その際に使用するパスワードです。

グループポリシーを使った「パスワードポリシー」を適切に設定することにより、より安全なパスワードの運用管理をすることができるようになります。

パスワードポリシー

パスワードポリシーは、ユーザーのパスワードを設定するための指針を示したもので、ドメインアカウントやローカルユーザーアカウントに対して適用されます。

したがって、このポリシーを適切に設定、運用することが重要となります。

パスワードに関するポリシー

Windows Server 2012 / R2には、パスワードに関するポリシーが6つ用意されています。

  • パスワードの長さ
  • パスワードの変更禁止期間
  • パスワードの有効期間
  • パスワードの履歴を記録する
  • 暗号化を元に戻せる状態でパスワードを保存する
  • 複雑さの要件を満たす必要があるパスワード

パスワードポリシーの設定

パスワードポリシーの設定は、「ドメインセキュリティポリシー」または「ローカルセキュリティポリシー」コンソールによって行います。

また、ドメインコントローラー以外のメンバーサーバーにローカルユーザーが登録されている場合、各コンピューターにローカルユーザー用のパスワードポリシーを設定する必要があります。

「グループポリシーの管理」コンソールからドメイン全体のパスワードポリシーを設定する場合は、「Default Domain Policy」GPOを編集します。

  • パスワードの長さ

パスワードの長さの設定は、ユーザーアカウントのパスワードに使用できる最小文字数を指定します。 設定値は1~14文字の範囲で指定できますが、文字数を「0」にするとパスワードが不要となります。

ドメインコントローラーの既定値は「7」となっており、ドメインのメンバーコンピューターはドメインコントローラーの構成に従うようになっています。

なお、スタンドアロンサーバーの既定値は「0」です。

  • パスワードの変更禁止期間

パスワードの変更禁止期間の設定は、パスワードを変更できるようになるまでの期間を日数で指定します。 そのため、ユーザーはこの期間中同じパスワードを使用することになります。

設定値には1~998までの日数を指定できますが、「0」にするといつでも変更できるようになります。

通常、パスワードの変更禁止期間は、パスワードの有効期間よりも短い値を設定するようにしておきます。

また、パスワードの履歴を記録する場合は、パスワードの変更禁止期間を1以上に設定するようにします。

ドメインコントローラーの既定値は「1」となっており、ドメインのメンバーコンピューターはドメインコントローラーの構成に従うようになっています。

なお、スタンドアロンサーバーの既定値は「0」です。

  • パスワードの有効期間

パスワードの有効期間の設定は、同一のパスワードを使用できる期間を指定します。

この期間を過ぎると、システムからパスワードを変更するように要求されます。

設定できる期間は1~999日ですが、既定では「42日」が設定されています。 「0」を設定するとパスワードの変更期間は設定されません。

また、パスワードの有効期間を1~199の間で設定した場合、「パスワードの変更禁止期間」にはこれよりも短い期間を設定するようにします。

反対に、パスワードの有効期間を「0」に設定した場合は、「パスワードの変更禁止期間」として0~998日までの間で指定できます。

  • パスワードの履歴を記録する

「パスワードの履歴を記録する」の設定では、以前使用したことのあるパスワードを再度使うことができるようになるまでの、パスワードの変更回数を0~24回の範囲で指定します。

これにより、古いパスワードの使いまわしを防ぐことが可能となり、セキュリティの強化を図れます。

ドメインコントローラーの既定値は「24」となっており、ドメインのメンバーコンピューターはドメインコントローラーの構成に従うようになっています。

なお、スタンドアロンサーバーの既定値は「0」です。

  • 暗号化を元に戻せる状態でパスワードを保存する

「暗号化を元に戻せる状態でパスワードを保存する」の設定は、暗号化を元に戻せる状態でパスワードをOSに保存するかどうかを指定します。 既定では「無効」となっています。

認証用にユーザーパスワード情報が必要となるプロトコルを使用している場合は、この設定を有効にする必要がありますが、パスワードがプレーンテキストで保存されるのと同じことになるため、セキュリティは低下します。

  • 複雑さの要件を満たす必要があるパスワード

複雑さの要件を満たす必要があるパスワードの設定は、パスワードの複雑さの程度を指定します。

この設定により、パスワードは以下の要件を満たしている必要があります。

  • ユーザーのアカウント名の全部または一部(連続する3文字以上)を使用しない
  • パスワードの長さは6文字以上にする
  • 以下の4つのカテゴリーのうち、3つ以上の文字を使用する

        ・ 英大文字

        ・ 英小文字

        ・ 10進数の数字(0~9)

        ・ アルファベット以外の記号文字(!、#、$、%、- など)

いかがでしたでしょうか。

ぜひお勉強の際にお役立て下さい。

KENスクールの講座一覧はこちら

合わせて読みたい: KENスクールの学習システム

この記事を読んだ人は以下の記事も読んでいます