UJP - 技術情報

アカウントの原則

　このドキュメントは，Windows NTにて，アカウントの原則の設定に関して説明する物である．

　アカウントの原則は，ユーザアカウントに対する原則を設定する物である．　簡単に言えば，ユーザパスワードに対するセキュリティの設定である．

　アカウントの原則の設定は，WindowsNTがどのような役割でセットアップされているかによって，適用範囲が異なる．

アカウントの原則の適用範囲
適用範囲	インストール形態
ドメイン	ドメインコントローラ(PDC,BDC)
個々のコンピュータ	メンバーサーバ(スタンドアロン)，ワークステーション

　アカウントの原則は，ユーザマネージャのメニュー“原則”で選択することが出来る．

　これを開くと，次のような画面が表示される．

　パスワードを設定した後に，そのパスワードが何日間有効かを設定する．

選択肢	推奨
無期限有効期間(日数)	無期限

　本来ならば，有効期間を設定する方がセキュリティ上好ましい．

　しかし，実運用を考慮した場合，ユーザ数が多いと，一般ユーザへのパスワード変更作業の教育コストを考えた場合に，適用すると管理コストがかかると思われる．

　この件以外の部分で，セキュリティを確保した方が良いかと思われる．

　パスワードも文字列長を設定する．

　パスワードを適当に設定するする場合には，たいていの場合ブランクかユーザ名と同じ物を設定している場合が多い．

選択肢	推奨
パスワード無しを許可最低ｎ文字以上	最低８文字以上　あるいは，ユーザIDのルール＋α

　“一度変更したパスワードを，最低ｎ日間は変更できない”ようにする設定．　つまり，ここで設定した期間内はパスワードの

選択肢	推奨
なし禁止期間ｎ日	なし

　この選択して，「なし」を選択した場合には，次のパスワードの一意性を設定する事が推奨されている．

　有効期限などが来た場合でも，同じパスワードを設定してしまっては意味がない．　よって，同じものを設定できない数を設定する．

　“アカウントのロック”とは，そのアカウントを一時的に使えないようにするものである．　無効化すると言うことで，ユーザアカウントを削除するに似ているが，このロックを外すと通常通りの利用が出来る点で，使用の一時停止を行なう際に使う．

　アカウントの原則では，ユーザが何度も連続してパスワードを間違えたときにその様にするかを設定する．　これはアタックに対応している機能である．

アカウントをロックしない
- ログインの際に，なんどパスワードを間違えてもアカウントを無効化しない．
アカウントをロックする．
- 次の失敗条件が発生した場合に，アカウントのロックを行なう．
ログオン失敗ｎ回後にロックアウトする．
- パスワード投入にｎ回失敗した場合にアカウントをロックする．
カウンタをｎ分後にリセットする．
- 失敗した回数を憶えておく時間．　たとえば，ログイン失敗を３回と設定，リセット時間を10分とした場合，３回目の失敗が11分目であればアカウントはロックされない．
ロックアウト期間
- ロックアウトが行なわれた時に，そのロックを解除する方法・自動解除時間を設定する．

選択肢	推奨
アカウントをロックアウトしないアカウントをロックアウトする	しない

　パスワードの承認エラーの場合，次のようなことが考えられる．

　パスワードをロックするようにしておくと，管理者コストが上がるので，アカウントのロックを行なわないで良いかと思われる．