アカウントの原則
0.改定履歴
- 1998.08.10 初版
1.はじめに
このドキュメントは,Windows NTにて,アカウントの原則の設定に関して説明する物である.
2.アカウントの原則とは?
アカウントの原則は,ユーザアカウントに対する原則を設定する物である. 簡単に言えば,ユーザパスワードに対するセキュリティの設定である.
アカウントの原則の設定は,WindowsNTがどのような役割でセットアップされているかによって,適用範囲が異なる.
適用範囲 | インストール形態 |
---|---|
|
ドメインコントローラ(PDC,BDC) |
|
メンバーサーバ(スタンドアロン),ワークステーション |
3.各種設定
アカウントの原則は,ユーザマネージャのメニュー“原則”で選択することが出来る.
これを開くと,次のような画面が表示される.
4.パスワード制限の設定
4.1.パスワードの有効期限
パスワードを設定した後に,そのパスワードが何日間有効かを設定する.
- 無期限
- そのパスワードを永久に使用することが出来る.
- 有効期間
- 指定された日数だけ有効となる. 期間が切れたら,ログオン時にパスワードを変更するように即される.
選択肢 | 推奨 |
---|---|
無期限 有効期間(日数) |
無期限 |
本来ならば,有効期間を設定する方がセキュリティ上好ましい.
しかし,実運用を考慮した場合,ユーザ数が多いと,一般ユーザへのパスワード変更作業の教育コストを考えた場合に,適用すると管理コストがかかると思われる.
この件以外の部分で,セキュリティを確保した方が良いかと思われる.
4.2.パスワードの長さ
パスワードも文字列長を設定する.
- パスワード無しを許可
- パスワードを付けないようなユーザを許可する.
- 最低n文字以上
- パスワードには,最低,n文字が必要となる.
パスワードを適当に設定するする場合には,たいていの場合ブランクかユーザ名と同じ物を設定している場合が多い.
選択肢 | 推奨 |
---|---|
パスワード無しを許可 最低n文字以上 |
最低8文字以上 あるいは,ユーザIDのルール+α |
4.3.パスワードの変更禁止期間
“一度変更したパスワードを,最低n日間は変更できない”ようにする設定. つまり,ここで設定した期間内はパスワードの
- なし
- いつでもパスワードを設定できる.
- 禁止期間n日
- 設定された日数だけ,パスワードの変更が出来ない.
選択肢 | 推奨 |
---|---|
なし 禁止期間n日 |
なし |
この選択して,「なし」を選択した場合には,次のパスワードの一意性を設定する事が推奨されている.
4.4.パスワードの一意性
有効期限などが来た場合でも,同じパスワードを設定してしまっては意味がない. よって,同じものを設定できない数を設定する.
- パスワードの履歴を記録しない.
- 以前どのようなパスワードが付けられていたかを気にしない.
- 記録nパスワードまで
- n回パスワードを変更するまでは,以前と同じ文言のパスワードを設定できない.
5.アカウントのロック
“アカウントのロック”とは,そのアカウントを一時的に使えないようにするものである. 無効化すると言うことで,ユーザアカウントを削除するに似ているが,このロックを外すと通常通りの利用が出来る点で,使用の一時停止を行なう際に使う.
アカウントの原則では,ユーザが何度も連続してパスワードを間違えたときにその様にするかを設定する. これはアタックに対応している機能である.
- アカウントをロックしない
- ログインの際に,なんどパスワードを間違えてもアカウントを無効化しない.
- アカウントをロックする.
- 次の失敗条件が発生した場合に,アカウントのロックを行なう.
- ログオン失敗n回後にロックアウトする.
- パスワード投入にn回失敗した場合にアカウントをロックする.
- カウンタをn分後にリセットする.
- 失敗した回数を憶えておく時間. たとえば,ログイン失敗を3回と設定,リセット時間を10分とした場合,3回目の失敗が11分目であればアカウントはロックされない.
- ロックアウト期間
- ロックアウトが行なわれた時に,そのロックを解除する方法・自動解除時間を設定する.
選択肢 | 推奨 |
---|---|
アカウントをロックアウトしない アカウントをロックアウトする |
しない |
パスワードの承認エラーの場合,次のようなことが考えられる.
- パスワードを忘れた.
- CAPSが入っていた.
- カナが入っていた.
- 他人のマシンを使おうとして,ユーザ名を直さずにパスワードだけ自分のものを入れた
パスワードをロックするようにしておくと,管理者コストが上がるので,アカウントのロックを行なわないで良いかと思われる.