アカウントロックアウトポリシーとは何ですか?
アカウントロックアウトポリシーは、管理者がユーザーアカウントをいつ、どのくらいの期間、ロックアウトするかを決定するための組み込みセキュリティポリシーです。これにより、ユーザーが間違ったパスワードを入力した場合の動作が決定されます。攻撃者がブルートフォースアタックや辞書攻撃を使用してユーザーのパスワードを推測し、解読することを防ぎます。これは、コンピューターのローカルセキュリティポリシーから、またはネットワーク管理者によってグループポリシーガイダンスコンソールで設定することができます。
アクティブディレクトリでアカウントロックアウトポリシーを変更する方法
アカウントロックアウトポリシーの設定を編集および変更するには、以下の手順に従います:
-
スタートメニュー → 管理ツール → グループポリシーガイダンス を開きます。
-
コンソールツリーで、フォレストを展開し、次にドメインを選択します。アカウントポリシーを設定するドメインを選択します。
-
ドメインをダブルクリックすると、ドメインにリンクされている GPO が表示されます。
-
デフォルトドメインポリシーを右クリックし、編集を選択します。グループポリシーエディタコンソールが開きます。
-
次に、コンピュータ設定 → ポリシー → Windows設定 → セキュリティ設定 → アカウントポリシー → アカウントロックアウトポリシーへと進みます。
-
アカウントロックアウトポリシーをダブルクリックすると、ADで利用可能な3つのアカウントロックアウト設定が表示されます。いずれかの設定を右クリックし、プロパティを選択してポリシー設定を定義します。
-
各ポリシー設定のプロパティダイアログボックスには、2つのタブがあります。セキュリティポリシーセッティングタブは、その設定の値を設定する場所です。説明タブには、ポリシー設定の簡単な説明とデフォルト値が記載されています。
-
セキュリティポリシー設定タブで、[このポリシー設定を定義する] チェックボックスをオンにし、希望する値を入力します。[適用] をクリックしてから [OK] をクリックします。
アカウントロックアウトポリシーの下で利用可能な三つの設定:
1. アカウントロックアウト期間
このセキュリティ設定は、アカウントがロックアウトされてから自動的にアンロックされるまでの分数を決定します。0分から99,999分の間で設定することができます。この設定を適用するには、アカウントロックアウトしきい値が定義されている必要があります。
値が0に設定されている場合、そのアカウントは自動的にアンロックされません。管理者が明示的にアカウントをアンロックする必要があります。デフォルトではこの設定は無効です。アカウントをアンロックするには:
-
ADUCで、ロックアウトされたユーザーを右クリックし、プロパティを選択します
-
ユーザープロパティのアカウントタブの下で、アカウントのアンロックチェックボックスをチェックしてアカウントをアンロックします
2. アカウントロックアウトしきい値
このセキュリティ設定は、ユーザーアカウントがロックアウトされる前に許可される失敗したログオン試行の回数を決定します。
例えば、攻撃者が初めて間違ったパスワードを入力した場合、ユーザーオブジェクトのbadPwdCount属性は1に設定されます。攻撃者が間違ったパスワードを続けて入力すると、アカウントロックアウトしきい値に達するまでbadPwdCountは1ずつ増加し、その時点でアカウントはロックされます。ロックアウトされたアカウントは、アカウントロックアウト期間が満了するか、または管理者が明示的にアカウントをアンロックするまではログオンに使用できません。
値は0から999の間で設定することができます。値が0に設定されると、そのアカウントは決してロックアウトされません。デフォルト値は0です。
3. ロックアウトカウンターのリセット後
このセキュリティ設定は、失敗したログオン試行があった後、失敗したログオンカウンターが0として設定されるべき分数を決定します。1分から99,999分の間で値を設定することができます。この設定を適用するには、アカウントロックアウトしきい値が定義されている必要があります。
アカウントロックアウトしきい値が定義されている場合、ロックアウトカウンターのリセット後の値は、ロックアウトしきい値期間以下でなければなりません。
アカウントロックアウトポリシーのベストプラクティス
アカウントロックアウトポリシーの設定は最大限の注意を払って実施すべきです。理想的には、各ポリシーに最適な値が定義されており、セキュリティと利便性の良いバランスを取るべきです。以下は参考になる値です:
-
アカウントロックアウトしきい値を20に設定。
-
アカウントロックアウト期間を15分に設定。
-
パスワードポリシーはすべてのユーザーに8文字以上を要求。
-
ロックアウトカウンターのリセット後の値を30分に設定。