アカウントのロックアウトのしきい値

適用対象

  • Windows 10

アカウント ロックアウトしきい値のセキュリティ ポリシー設定に関するベスト プラクティス、場所、値、セキュリティに関する考慮事項について説明します。

リファレンス

アカウント ロックアウトのしきい値ポリシー設定は、ユーザー アカウントがロックされる原因となるサインイン試行の失敗回数を決定します。 ロックされたアカウントは、リセットするまで、または アカウント ロックアウト期間 ポリシー設定で指定された分数の有効期限が切れるまで使用できません。 サインイン試行に失敗した 1 から 999 までの値を設定するか、値を 0 に設定してアカウントをロックしないように指定できます。 アカウント ロックアウトしきい値 がゼロより大きい数値に設定されている場合、アカウント ロックアウト期間アカウント ロックアウト カウンターのリセット の値以上である必要があります。

ブルート フォース パスワード攻撃を自動化して、任意またはすべてのユーザー アカウントに対して数千または数百万のパスワードの組み合わせを試すことができます。 実行できるサインインの失敗回数を制限すると、このような攻撃の有効性がほぼ排除されます。 ただし、アカウントロックアウトしきい値が構成されているドメインで、サービス拒否 (DoS) 攻撃が実行される可能性があることに注意してください。 悪意のあるユーザーは、組織内のすべてのユーザーに対して一連のパスワード攻撃をプログラムで試みる可能性があります。 試行回数が アカウント ロックアウトのしきい値の値を超える場合、攻撃者はすべてのアカウントをロックする可能性があります。

ワークステーションのロック解除に失敗すると、対話型ログオンの場合でもアカウントロックアウトが発生する可能性があります。[ワークステーションのセキュリティの ロックを解除するにはドメイン コントローラー認証を要求する ]オプションが無効になっている場合もあります。 ログオンしたのと同じパスワードを入力した場合、Windows はロック解除のためにドメイン コントローラーに問い合わせる必要はありませんが、別のパスワードを入力した場合は、別のコンピューターからパスワードを変更した場合に備えて、ドメイン コントローラーに連絡する必要があります。

アカウントロックアウトしきい値ポリシー設定に対して次の値を構成できます。

  • 0 から 999 までのユーザー定義の数値
  • 未定義

この値が構成されている場合と構成されていない場合に脆弱性が存在する可能性があるため、組織は特定された脅威と、軽減しようとしているリスクを比較検討する必要があります。 これらの設定の詳細については、この記事の 「対策 」を参照してください。

ベスト プラクティス

選択するしきい値は、運用効率とセキュリティのバランスであり、組織のリスク レベルによって異なります。 ユーザー エラーを許容し、ブルート フォース攻撃を阻止するために、 Windows セキュリティ ベースライン では、10 という値が組織にとって許容できる開始点になる可能性があることをお勧めします。

他のアカウント ロックアウト設定と同様に、"1 つのサイズがすべてに合う" ことがないため、この値はルールやベスト プラクティスよりもガイドラインになります。 詳細については、「 アカウント ロックアウトの構成」を参照してください。

このポリシー設定の実装は、運用環境によって異なります。脅威ベクトル、展開されたオペレーティング システム、およびデプロイされたアプリ。 詳細については、この記事の 実装に関する考慮事項に関する記事を 参照してください。

場所

コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\アカウント ロックアウト ポリシー

既定値

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、ポリシー設定のプロパティ ページにも一覧表示されます。

サーバーの種類またはグループ ポリシー オブジェクト (GPO) 既定値
既定のドメイン ポリシー 0 の無効なサインイン試行
既定のドメイン コントローラー ポリシー 未定義
スタンドアロン サーバーの既定の設定 0 の無効なサインイン試行
ドメイン コントローラーの有効な既定の設定 0 の無効なサインイン試行
メンバー サーバーの有効な既定の設定 0 の無効なサインイン試行
クライアント コンピューターでの GPO の有効な既定の設定 0 の無効なサインイン試行

ポリシー管理

このセクションでは、このポリシー設定の管理に役立つ機能とツールについて説明します。

再起動の要件

なし。 このポリシー設定の変更は、コンピューターがローカルに保存されたり、グループ ポリシー経由で配布されたりすると、コンピューターを再起動せずに有効になります。

実装に関する考慮事項

このポリシー設定の実装は、運用環境によって異なります。 脅威ベクトル、展開されたオペレーティング システム、デプロイされたアプリについて検討します。 次に、例を示します。

  • アカウントの盗難や DoS 攻撃の可能性は、システムと環境のセキュリティ設計に基づいています。 これらの脅威の既知のリスクと認識されたリスクを考慮して、アカウントロックアウトのしきい値を設定します。

  • クライアント、サーバー、ドメイン コントローラー間で暗号化の種類のネゴシエーションが行われると、Kerberos プロトコルは、このポリシー設定で設定したしきい値制限にカウントされるアカウント サインイン試行を自動的に再試行できます。 異なるバージョンのオペレーティング システムがデプロイされている環境では、暗号化の種類のネゴシエーションが増加します。

  • 環境で使用されているすべてのアプリが、ユーザーがサインインを試行できる回数を効果的に管理するわけではありません。 たとえば、ユーザーがアプリを実行しているときに接続が繰り返し切断された場合、後続のすべての失敗したサインイン試行は、アカウントロックアウトのしきい値にカウントされます。

アカウントロックアウトに関する Windows セキュリティ ベースラインの推奨事項の詳細については、「 アカウント ロックアウトの構成」を参照してください。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

注意

ロックアウトしきい値ポリシーは、ローカル メンバー コンピューター ユーザーとドメイン ユーザーの両方に適用され、"脆弱性" に関する説明に従って問題の軽減が可能になります。 ただし、組み込みの管理者アカウントは、高い特権を持つアカウントとは異なるリスク プロファイルを持ち、このポリシーから除外されます。 これにより、管理者がサインインして問題を修復できないシナリオがなくなります。 管理者は、強力なパスワードなど、追加の軽減策を利用できます。 「 付録 D: Active Directory でのBuilt-In管理者アカウントのセキュリティ保護」も参照してください。

脆弱性

ブルート フォース パスワード攻撃では、自動化された方法を使用して、任意のユーザー アカウントに対して何百万ものパスワードの組み合わせを試すことができます。 このような攻撃の有効性は、実行できるサインイン試行の失敗回数を制限すれば、ほぼ排除できます。 ただし、アカウントロックアウトのしきい値が構成されているドメインで DoS 攻撃を実行する可能性があります。 攻撃者は、組織内のすべてのユーザーに対して一連のパスワード攻撃をプログラムで試みる可能性があります。 試行回数がアカウントロックアウトのしきい値を超える場合、攻撃者は特別な特権を必要としたり、ネットワークで認証されたりすることなく、すべてのアカウントをロックできる可能性があります。

注意

オフライン パスワード攻撃は、このポリシー設定ではカウンターされません。

対抗策

この値が構成されている場合と構成されていない場合に脆弱性が存在する可能性があるため、2 つの異なる対策が定義されます。 組織は、特定された脅威と軽減したいリスクに基づいて、2 つの選択肢を比較検討する必要があります。 次の 2 つの対策オプションがあります。

  • アカウント ロックアウトのしきい値の設定を 0 に構成します。 この構成により、アカウントがロックされないようにし、アカウントを意図的にロックしようとする DoS 攻撃を防ぎます。 この構成は、ユーザーが誤って自分のアカウントからロックアウトすることはできないため、ヘルプ デスクの呼び出しを減らすのにも役立ちます。 ブルート フォース攻撃を防ぐわけではないため、次の条件の両方が明示的に満たされている場合にのみ、この構成を選択する必要があります。

    • パスワード ポリシー設定では、すべてのユーザーが 8 文字以上の複雑なパスワードを持っている必要があります。
    • 環境内で一連の失敗したサインインが発生したときに管理者に警告する堅牢な監査メカニズムが用意されています。
  • アカウントロックアウト のしきい値 ポリシー設定を十分に高い値に構成して、アカウントがロックされる前にユーザーがパスワードを誤って何度も誤って入力する機能を提供しますが、ブルート フォース パスワード攻撃でアカウントがロックされていることを確認します。

    Windows セキュリティ ベースライン では、10 回の無効なサインイン試行のしきい値を構成することをお勧めします。これにより、誤ってアカウントのロックアウトが防止され、ヘルプ デスクの呼び出しの数が減りますが、DoS 攻撃は防止されません。

    この種類のポリシーを使用するには、ロックされたアカウントのロックを解除するプロセスを伴う必要があります。 システムに対する攻撃による大規模なロックアウトを軽減するために必要な場合は常に、このポリシーを実装できる必要があります。

潜在的な影響

このポリシー設定が有効になっている場合、ロックされたアカウントは、管理者によってリセットされるまで、またはアカウントロックアウト期間の有効期限が切れるまで使用できません。 この設定を有効にすると、さらに多くのヘルプ デスクの呼び出しが生成される可能性があります。

アカウント ロックアウトしきい値ポリシー設定を 0 に構成した場合、堅牢な監査メカニズムが設定されていないと、悪意のあるユーザーがブルート フォース パスワード攻撃でパスワードを検出しようとする可能性があります。

このポリシー設定を 0 より大きい数値に構成した場合、攻撃者はアカウント名が既知のアカウントを簡単にロックできます。 この状況は、アカウントをロックするためにネットワークへのアクセス以外の資格情報が必要ないことを考慮すると、特に危険です。

関連トピック

アカウント ロックアウトのポリシー