パスワード ポリシー
適用対象
- Windows 11
- Windows 10
Windows のパスワード ポリシーの概要と、各ポリシー設定の情報へのリンク。
多くのオペレーティング システムでは、ユーザーの ID を認証するための最も一般的な方法は、シークレットパスフレーズまたはパスワードを使用することです。 セキュリティで保護されたネットワーク環境では、すべてのユーザーが 8 文字以上の強力なパスワードを使用し、文字、数字、記号の組み合わせを含める必要があります。 これらのパスワードは、脆弱なパスワードを推測するために手動の方法または自動ツールを使用する未承認のユーザーによるユーザー アカウントと管理アカウントの侵害を防ぐのに役立ちます。 強力なパスワードを定期的に変更すると、パスワード攻撃が成功する可能性が低くなります。
Windows Server 2008 R2 および Windows Server 2008 で導入された Windows では、きめ細かいパスワード ポリシーがサポートされています。 この機能を使用すると、組織は、ドメイン内のさまざまなユーザー セットに対して異なるパスワードポリシーとアカウント ロックアウト ポリシーを定義できます。 きめ細かいパスワード ポリシーは、ユーザー オブジェクト (または、ユーザー オブジェクトの代わりに使用される場合は inetOrgPerson オブジェクト) とグローバル セキュリティ グループにのみ適用されます。 詳細については、「 AD DS Fine-Grainedパスワードとアカウント ロックアウト ポリシーのステップ バイ ステップ ガイド」を参照してください。
OU のユーザーにきめ細かいパスワード ポリシーを適用するには、シャドウ グループを使用できます。 シャドウ グループは、きめ細かいパスワード ポリシーを適用するために OU に論理的にマップされるグローバル セキュリティ グループです。 OU のユーザーを新しく作成したシャドウ グループのメンバーとして追加し、このシャドウ グループにきめ細かいパスワード ポリシーを適用します。 必要に応じて、他の OU 用に追加のシャドウ グループを作成できます。 ある OU から別の OU にユーザーを移動する場合は、対応するシャドウ グループのメンバーシップを更新する必要があります。
きめ細かいパスワード ポリシーには、アカウントロックアウト設定に加えて、既定のドメイン ポリシー (Kerberos 設定を除く) で定義できるすべての設定の属性が含まれます。 きめ細かいパスワード ポリシーを指定する場合は、これらの設定をすべて指定する必要があります。 既定では、Domain Admins グループのメンバーのみがきめ細かいパスワード ポリシーを設定できます。 ただし、これらのポリシーを他のユーザーに設定する機能を委任することもできます。 きめ細かいパスワード ポリシーを使用するには、ドメインが少なくとも Windows Server 2008 R2 または Windows Server 2008 を実行している必要があります。 きめ細かいパスワード ポリシーを組織単位 (OU) に直接適用することはできません。
適切なパスワード ポリシーを使用して、強力なパスワードの使用を強制できます。 パスワードの複雑さと有効期間を制御するパスワード ポリシー設定があります。たとえば、[ パスワードは複雑さの要件を満たす必要があります ] ポリシー設定などです。
グループ ポリシー管理コンソールを使用して、次の場所でパスワード ポリシー設定を構成できます。
コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー
このグループ ポリシーはドメイン レベルで適用されます。 個々のグループで個別のパスワード ポリシーが必要な場合は、前述のように、きめ細かいパスワード ポリシーの使用を検討してください。
次のトピックでは、パスワード ポリシーの実装とベスト プラクティスに関する考慮事項、ポリシーの場所、サーバーの種類または GPO の既定値、オペレーティング システムのバージョンの関連する違い、セキュリティに関する考慮事項 (各設定の潜在的な脆弱性を含む)、取ることができる対策、各設定の潜在的な影響について説明します。
このセクションの内容
| トピック | 説明 |
|---|---|
| パスワードの履歴を記録する | [パスワード履歴の適用] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。 |
| パスワードの有効期間 | [パスワードの有効期間の上限] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。 |
| パスワードの変更禁止期間 | [最小パスワード有効期間] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。 |
| パスワードの長さ | [最小パスワード長] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。 |
| 複雑さの要件を満たす必要があるパスワード | [複雑さの要件を満たす必要があるパスワード] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。 |
| 暗号化を元に戻せる状態でパスワードを保存する | 元に戻せる暗号化セキュリティ ポリシー設定を 使用したパスワードの保存 に関するベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。 |