ドメイン メンバー: 最大コンピューター アカウントのパスワードの有効期間
適用対象
- Windows 11
- Windows 10
ドメイン メンバーのベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明 します:マシン アカウントのパスワードの有効期間の上限 セキュリティ ポリシー設定。
リファレンス
ドメイン メンバー: マシン アカウントのパスワードの有効期間の上限ポリシー設定は、ドメイン メンバーがパスワード変更を送信するタイミングを決定します。
Active Directory ベースのドメインでは、各デバイスにアカウントとパスワードがあります。 既定では、ドメイン メンバーは 30 日ごとにパスワード変更を送信します。 この間隔を延長または短縮できます。 さらに、 ドメイン メンバー: コンピューター アカウントのパスワード変更ポリシーを無効にして、 パスワード変更要件を完全に無効にすることができます。 ただし、このオプションを検討する前に、「 ドメイン メンバー: マシン アカウントのパスワードの変更を無効にする」で説明されているように、影響を確認してください。
重要
パスワードの変更間隔を大幅に増やす (またはパスワードの変更を無効にする) と、攻撃者はマシン アカウントのいずれかに対してブルート フォースパスワード推測攻撃を実行する時間が長くなります。
詳細については、「 マシン アカウントのパスワード プロセス」を参照してください。
値
- 1 日から 999 日までのユーザー定義日数 (含む)
- 未定義
ベスト プラクティス
ドメイン メンバー: マシン アカウントのパスワードの有効期間を約 30 日間に設定することをお勧めします。 値を日数に設定すると、レプリケーションが増加し、ドメイン コントローラーに影響を与える可能性があります。 たとえば、Windows NT ドメインでは、マシン パスワードは 7 日ごとに変更されました。 余分なレプリケーションチャーンは、多数のコンピューターを持つ大規模な組織のドメイン コントローラーや、サイト間のリンクが遅い場合に影響を与える可能性があります。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、実際のポリシー値と有効なこのポリシーの規定の値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 未定義 |
| 既定のドメイン コントローラー ポリシー | 未定義 |
| スタンドアロン サーバーの既定の設定 | 30 日 |
| DC の有効な既定の設定 | 30 日 |
| メンバー サーバーの有効な既定の設定 | 30 日 |
| クライアント コンピューターの有効な既定の設定 | 30 日 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。
再起動の必要性
なし。 このポリシーの変更は、コンピューターがローカルに保存されるか、グループ ポリシー経由で配布されるときに、コンピューターを再起動せずに有効になります。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。
脆弱性
既定では、ドメイン メンバーは 30 日ごとにパスワード変更を送信します。 コンピューターがパスワードの変更を送信しなくなったようにこの間隔を長くすると、攻撃者は 1 つ以上のコンピューター アカウントのパスワードを推測するためにブルートフォース攻撃を実行する時間が長くなります。
対抗策
[ドメイン メンバー: マシン アカウントのパスワードの有効期間の上限] 設定を 30 日に構成します。
潜在的な影響
なし。 この影響のない状態が既定の構成です。