- 2021年1月22日
- 読むのに5分
-
- D
- g
- R
- j
- d
-
+6
適用対象
- Windows 10
パスワードのベストプラクティス、場所、値、およびセキュリティの考慮事項について説明します。複雑さの要件のセキュリティポリシー設定を満たす必要があります。
参照
パスワードは複雑さの要件を満たす必要がありますポリシー設定により、パスワードは、一連の強力なパスワードのガイドラインを満たす必要があります。この設定を有効にすると、次の要件を満たすためにパスワードが必要になります。
-
パスワードにユーザーのsamAccountName(アカウント名)値またはdisplayName(フルネーム値)全体を含めることはできません。両方チェックでは大文字と小文字は区別されません。
samAccountNameは、パスワードの一部であるかどうかを判断するためにのみ全体がチェックされます。samAccountNameの長さが3文字未満の場合、このチェックはスキップされます。displayNameは区切り文字について解析:コンマ、ピリオド、ダッシュまたはハイフン、下線、スペース、ポンド記号、タブこれらの区切り文字のいずれかが見つかった場合、displayNameが分割され、解析されたすべてのセクション(トークン)がパスワードに含まれていないことが確認されます。3文字より短いトークンは無視され、トークンのサブストリングはチェックされません。たとえば、「Erin M. Hagens」という名前は、「Erin」、「M」、および「Havens」の3つのトークンに分割されます。 2番目のトークンは1文字しかないため、無視されます。したがって、このユーザーはnパスワードのどこかに、サブストリングとして「erin」または「havens」のいずれかが含まれているパスワードがあります。
-
パスワードには、次の3つのカテゴリの文字が含まれています。
- ヨーロッパ言語の大文字(AからZ、ダイアクリティックマーク付き、ギリシャ文字とキリル文字)
- ヨーロッパ言語の小文字(aからz、sharp-s、ダイアクリティックマーク付き) 、ギリシャ文字とキリル文字)
- ベース10桁(0から9)
- 非英数字(特殊文字):(〜!@#$%^ & * _- + =` | \(){}:; “” < >、。? /)ユーロやブリティッシュポンドなどの通貨記号は、このポリシー設定では特殊文字としてカウントされません。
- アルファベット文字として分類されているが、大文字または小文字ではないUnicode文字。このグループには、アジア言語のUnicode文字が含まれます。
パスワードが変更または作成されると、複雑さの要件が適用されます。
次のルールWindows Serverのパスワードの複雑さの要件に含まれているのはPassfilt.dllの一部であり、直接変更することはできません。
有効にすると、デフォルトのPassfilt.dllにより、ロックアウトされたアカウントに対して追加のヘルプデスク呼び出しが発生する場合があります。ユーザーは、アルファベット以外の文字を含むパスワードに慣れていません。ただし、このポリシー設定は十分に自由であるため、すべてのユーザーが慣れることができます。
カスタムPassfilt.dllに含めることができる追加の設定は、上段以外の文字の使用です。上段の文字を入力するには、Shiftキーを押しながら、キーボードの数字行のいずれかのキー(1から9および0まで)を押します。
可能な値
- 有効
- 無効
- 未定義
ベストプラクティス
ヒント
最新のベストプラクティスについては、パスワードガイダンスを参照してください。
パスワードの設定は、複雑さの要件を有効にする必要があります。このポリシー設定を8の最小パスワード長と組み合わせると、単一のパスワードに対して少なくとも218,340,105,584,896の異なる可能性があることが保証されます。この設定により、ブルートフォース攻撃が困難になりますが、それでも不可能ではありません。
ALTキーと文字の組み合わせを使用すると、パスワードの複雑さが大幅に強化されます。ただし、組織内のすべてのユーザーにこのような厳しいパスワード要件の遵守を要求すると、ユーザーが不満になり、ヘルプデスクが過労になる可能性があります。すべての管理者パスワードの一部として0128から0159の範囲のALT文字を使用するという要件を組織に実装することを検討してください。 (その範囲外のALT文字は、パスワードをさらに複雑にすることのない標準の英数字を表すことができます。)
英数字のみを含むパスワードは、公開されているツールを使用することで簡単に侵害されます。これを防ぐには、パスワードに追加の文字を含め、複雑さの要件を満たす必要があります。
場所
コンピューターの構成\ Windowsの設定\セキュリティの設定\アカウントポリシー\パスワードポリシー
デフォルト値
次の表に、実際の有効なデフォルトポリシー値。デフォルト値は、ポリシーのプロパティページにも一覧表示されます。
サーバーの種類またはグループポリシーオブジェクト(GPO) | デフォルト値 |
---|---|
デフォルトのドメインポリシー | 有効 |
デフォルトのドメインコントローラーポリシー | 有効 |
スタンドアロンサーバーのデフォルト設定 | 無効 |
ドメインコントローラーの有効なデフォルト設定 | 有効 |
メンバーサーバーの有効なデフォルト設定 | 有効 |
クライアントコンピューターでの有効なGPOデフォルト設定 | 無効 |
セキュリティに関する考慮事項
このセクションでは、攻撃者がどのように攻撃する可能性があるかについて説明します。機能またはその構成、対策の実装方法、および対策の実装によって発生する可能性のある悪影響を活用します。
脆弱性
英数字のみを含むパスワードは、いくつかの公開されているツールを使用して非常に簡単に見つけることができます。
対策
パスワードを構成する必要があります複雑さの要件ポリシー設定を[有効]に設定し、パスワードにさまざまな文字を使用するようユーザーにアドバイスします。
パスワードの最小長8と組み合わせると、このポリシー設定により、単一のパスワードのさまざまな可能性の数が保証されます。非常に大きいため、ブルートフォース攻撃を成功させることは困難です(不可能ではありません)。 (パスワードの最小長ポリシー設定を増やすと、攻撃を成功させるために必要な平均時間も長くなります。)
潜在的な影響
デフォルトのパスワードの複雑さの構成が保持されている場合、ユーザーがアルファベット以外の文字を含むパスワードに慣れていないか、異なるレイアウトのキーボードでアクセント付きの文字または記号を含むパスワードを入力する際に問題が発生する可能性があるため、ロックアウトされたアカウントに対する追加のヘルプデスクの呼び出しが発生する可能性があります。ただし、すべてのユーザーが最小限の問題で複雑さの要件に準拠できる必要があります。
組織のセキュリティ要件がより厳しい場合は、Passfilt.dllファイルのカスタムバージョンを作成して、任意に複雑なパスワード強度ルール。たとえば、カスタムパスワードフィルタでは、上段以外の記号を使用する必要がある場合があります。 (上段の記号は、Shiftキーを押したまま、キーボードの数字行の1から9および0までのいずれかのキーを押す必要がある記号です。)カスタムパスワードフィルターは、辞書チェックも実行する場合があります。提案されたパスワードに一般的な辞書の単語やフラグメントが含まれていないことを確認します。
ALTキーと文字の組み合わせを使用すると、パスワードの複雑さが大幅に強化されます。ただし、このような厳格なパスワード要件により、追加のヘルプデスク要求が発生する可能性があります。または、組織は、すべての管理者パスワードが0128〜0159の範囲のALT文字を使用するための要件を検討することもできます。 (この範囲外のALT文字は、パスワードをさらに複雑にすることのない標準の英数字を表すことができます。)
- パスワードポリシー