次の方法で共有

アカウントのロックアウトのしきい値を推奨値に設定する - Microsoft Engage Center (Services Hub)

これを検討する理由とは

アカウント ロックアウトのポリシーでは、現在、アカウントのロックアウトのしきい値が推奨値に設定されていません。 アカウントのロックアウトのしきい値は、アカウントがロックアウトされることがないように (およびサービス拒否 (DoS) サイバー攻撃が回避されるように) 0 に設定するか、アカウントがロックされる前にユーザーが複数回パスワードを誤って入力する可能性があるため、十分に大きな値を設定する必要があります。ただし、それでもブルートフォース パスワード攻撃によってアカウントがロックされることに気をつけます。

カスタマーエンジニアが問題を説明する動画を見る

コンテキストおよびベストプラクティス

パスワード攻撃は、自動化された方法を使用して、あらゆるユーザー アカウントに対して数百万のパスワードの組み合わせを試すことができます。 このような攻撃の効果は、実施可能なログオンの失敗の回数を制限した場合、大幅に減少させることができます。 ただし、アカウントのロックアウトのしきい値が構成されているドメインでサービス拒否 (DoS) 攻撃が実行される可能性があります。 サイバー攻撃者は、プログラムによって組織内すべてのユーザーに対して一連のパスワード攻撃を試みる可能性があります。 試行回数がアカウントのロックアウトのしきい値を超える場合、サイバー攻撃者はすべてのアカウントをロック アウトできる可能性があります。

アカウントのロックアウトのしきい値が構成されていても、構成されていなくても脆弱性が存在する可能性はあるので、2 つの別個の対抗策が定義されます。 軽減すべき識別された脅威やリスクに応じて二種類からどちらを選ぶかを検討しなければなりません。 二種類の方策:

  • [アカウントのロックアウトのしきい値] の設定を「0」に設定します。 この構成により、アカウントがロックアウトされなくしたり、意図的にアカウントをロックアウトしようとする DoS 攻撃を防いだりするようにします。 また、この構成は、ユーザーが自分のアカウントから誤ってロックアウトされることがないため、ヘルプデスクへの通話を減らすのに役立ちます。 これでは総当たり攻撃を阻止できないので、この設定は以下の基準が明示的に満たされているときしか選ぶべきではありません:
    • パスワード ポリシーは、すべてのユーザーが 8 文字以上の複雑なパスワードを持つことを要求します。
    • 堅牢な監査メカニズムは、環境で一連の失敗したログオンが発生した場合に、管理者に通知するために用意されています。 たとえば、監査ソリューションは、ログオンの失敗であるセキュリティ イベント 539 を監視する必要があります。このイベントは、ログオンを試行した時点で、アカウントがロックされていたことを示します。
  • [アカウントのロックアウトのしきい値] の設定を十分に高い値に設定すると、アカウントがロックされる前にユーザーが誤ってパスワードを数回入力ミスする可能性がありますが、その場合は、ブルート フォース パスワード攻撃によって引き続きアカウントがロックされるようになります。 そのため、この構成により偶発的なアカウントのロックアウトが回避され、ヘルプ デスクへの通話を減らすことができます。しかし、DoS 攻撃を防ぐことはできません。

このポリシー設定がオンになっている場合、ロックアウトされたアカウントは管理者によってリセットされるか、アカウントのロックアウト期間が終了するまで使用できません。 この設定により、いくつかの追加のヘルプ デスクへの通話が生成される可能性があります。 実のところ、ロックされたアカウントにより、多くの組織のヘルプ デスクに最大数の呼び出しが引き起こされます。 この設定を強制すると、サイバー攻撃者は複数のユーザーに対し、失敗したログオンを意図的に生成することによってサービス拒否の状態を引き起こす可能性があります。したがって、アカウントのロックアウト期間を 15 分などの比較的低い値に構成する必要もあります。

推奨される対応

グループ ポリシー管理エディター (GPME) を使用して、ドメインの有効なパスワード ポリシーを含むグループ ポリシー オブジェクト (GPO) を開きます。この GPO は、既定のドメイン ポリシーまたは既定のドメイン ポリシーにリンクされた (つまり、優先順位が高い) カスタム GPO である可能性があります。

GPME で、Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy に移動します。

[アカウントのロックアウトのしきい値] の設定を「0」に設定して、アカウントが決してロックアウトされないようにするか、「n」を設定します。「n」が十分に高い値である場合、アカウントがロックされる前にユーザーが誤ってパスワードを数回入力ミスする可能性がありますが、その場合は、ブルート フォース パスワード攻撃によって引き続きアカウントがロックされるようになります。 「n」の現在の Microsoft セキュリティ コンプライアンス ツールキット (SCT) のベースライン推奨値は「10」です。

詳細に設定されたパスワード ポリシーを使用している場合、既定のドメイン ポリシーは、すべてのアカウントに係るものではない場合があることに注意してください。したがって、そのような場合には、これらの詳細に設定されたパスワード ポリシーで、暗号化を元に戻せる設定を確認する必要もあります。

さらに詳しくは

アカウントのロックアウト設定の詳細については、「アカウントのロックアウトの設定」を参照してください。