パスワードは、どの組織にとっても常に悩ましいジレンマです。ユーザーは覚えやすく入力しやすいシンプルなWindowsパスワードを好みますが、組織としてはユーザーとビジネスを守るために、強力で複雑なパスワードを設定する必要があります。社内でグループポリシーを使用している場合は、最低限のセキュリティレベルを確保するために、特定のパスワードポリシーを設定することができます。その方法をご紹介します。(以下のポリシーは、Windows 7、8.1、10クライアントに適用できます。)
1. グループポリシーエディターを開きます。まずは、ローカルのグループポリシーエディターを使って、現在のコンピューターでテストすることをお勧めします。その後、すべてのユーザー向けの設定を作成して展開する際には、ドメインのグループポリシーコンソールに切り替えてください。
2. 検索フィールドに「gpedit.msc」と入力します。
3. ローカルグループポリシーエディターで、以下の設定に移動します:コンピューターの構成 | Windowsの設定 | セキュリティの設定 | アカウントポリシー | パスワードポリシー。設定可能な具体的なポリシーが表示されます。それぞれ確認してみましょう。
参照: ユーザーアカウントのロックアウトとパスワードのリセットを減らす方法 (無料 PDF) (TechRepublic)
パスワード履歴を強制する。このポリシーは、ユーザーが既に使用したパスワードの作成を制限します。漏洩または盗難された可能性のある過去のパスワードが再利用されないようにすることが目的です。パスワード履歴を有効にすると、再利用できない過去のパスワードの数を1~24個の範囲で設定できます(図A)。
図A
パスワードの最大有効期間。このポリシーは、一定期間後にパスワードを期限切れにすることで、ユーザーに定期的なパスワード変更を強制します。デフォルトは42日ですが、1日(推奨されません!)から999日(図B)までの範囲で設定できます。
図B
パスワードの有効期限ポリシーは多くの組織で採用されていますが、導入については慎重に検討する必要があるかもしれません。ユーザーはパスワードを好まないため、数ヶ月ごとに新しいパスワードを作成して記憶させるのは、必要のない、あるいは効果的ではない負担を増大させる可能性があります。Microsoftでさえこのポリシーに反対しており、5月下旬にリリース予定の次期Windowsバージョン、具体的にはWindows 10とWindows Server 1903では、このポリシーを基本設定から削除すると発表しています。
Microsoftが主張しているように、パスワードの有効期限の主な目的は、盗まれたパスワードやハッキングされたパスワードが二度と使用されないようにすることです。しかし、パスワードが盗まれたことがないのであれば、なぜユーザーに変更を強制する必要があるのでしょうか?また、特定のパスワードが盗まれたことが分かっている場合は、有効期限が切れるまで待つのではなく、すぐに変更するはずです。パスワードポリシーの設定と有効化に労力を費やす方が賢明です。
パスワードの最小有効期間。このポリシーは、ユーザーが新しいパスワードを作成した後、すぐにパスワードを変更することを防ぎます。ある意味では、これはパスワード履歴設定の延長です。ポリシーで許可されているパスワードが見つかるまで、ユーザーが古いパスワードをすべて使い回してしまうことを防ぐことが目的です。また、既存のパスワードを入手して任意のパスワードにリセットしようとするハッカーを阻止する目的でも設計されています。パスワードの変更期限は、1日から998日の間で設定できます(図C)。
図C
パスワードの最小文字数:このポリシーは、Windows パスワードに必要な最小文字数を指定します。文字数は 1 文字から 20 文字まで設定できます(図 D)。パスワードが長いほど、ブルートフォース攻撃などの手段でハッカーがパスワードを推測することが困難になります。多くの専門家はパスワードの最小文字数を 12 文字にすることを推奨していますが、ユーザーに適切なパスワードの長さを選択する際には、他のパスワードポリシーや方法も考慮に入れるようにしてください。
図D
パスワードは複雑さの要件を満たす必要があります。このポリシーは、ユーザーパスワードに許可される文字の種類と必須の文字の種類を決定します(図E)。有効にした場合、ユーザーパスワードは以下の要件を満たす必要があります。
- ユーザーのアカウント名、または連続する 2 文字を超えるユーザーのフルネームの一部が含まれていない。
- 少なくとも 6 文字の長さにしてください。
- 次の 4 つのカテゴリのうち 3 つのカテゴリの文字を含みます。
- 英語の大文字(AからZ)
- 英語の小文字(aからz)
- 10進数の数字(0から9)
- アルファベット以外の文字(例:!、$、#、%)
このポリシーをパスワードの最小文字数と組み合わせて設定する場合は、セキュリティと使いやすさの適切なバランスをとることが重要です。複雑なWindowsパスワードはセキュリティを強化しますが、ユーザーが他のパスワードと同様に覚えておくのが難しくなる可能性があります。パスワードの最小文字数と複雑さを設定する場合は、ユーザーがより簡単に覚えて使用できる安全なパスワードを作成するためのヘルプやヒントを提供する必要があります。
図E
パスワードを元に戻せる暗号化を使用して保存します。このポリシーは、強力なパスワードを元に戻せる暗号化を使用して保存します。これは、認証にユーザーパスワードの情報を必要とするアプリケーションで必要となる場合があります。ただし、これによりパスワードの脆弱性が高まるため、絶対に必要な場合を除き、このポリシーは無効にしておくことをお勧めします(図F)。
図F
これらはコアとなるパスワード ポリシーですが、アカウント ロックアウト ポリシーの設定や、ローカル ポリシーのセキュリティ オプションの設定など、グループ ポリシーにはその他のパスワード関連の設定もあります。
参照: パスワード管理ポリシー (Tech Pro Research)
また、グループポリシーで提供されるパスワードポリシーには限界があることに留意してください。パスワード有効期限ポリシーに関するブログ記事の中で、Microsoft自身も「ベースラインでは明示できないとしても、追加の保護対策を強く推奨することを改めて強調しておきます」と述べています。そのため、ユーザーパスワードを可能な限り安全かつ確実に保護するためには、グループポリシー設定をより高度で洗練された方法で補完する必要があります。
