Windows ドメイン パスワード ポリシーのアドバイス

tag-icon tag-icon windows-server-2003 security active-directory group-policy password
Windows ドメイン パスワード ポリシーのアドバイス

パスワード ポリシーが必要な Windows ドメインがあります。現在、パスワード ポリシーはありません。弱いパスワードと、ユーザーがパスワードを強力にし、それを書き留めてしまうことの間の適切なバランスについて、フィードバックをお持ちの方はいらっしゃいますか?

期限切れのパスワードを持っている人は誰もいないので、ユーザー アカウントから「パスワードの有効期限なし」プロパティを削除することで、段階的にユーザーを移行できると考えました。そうすれば、私 (およびヘルプ デスク) は質問やパスワードのリセットで忙殺されることがなくなります。何かフィードバックはありますか?

答え1

米国国立標準技術研究所(NIST)には、コンピュータセキュリティに関する優れた出版物これらは素晴らしいリソースです...あなたが探している出版物は、NIST Special Publication 800-53 です。(信じてください、思ったほど悪くはありません)

私の意見では、パスワード ポリシーは次のようになります。

  • 8文字
  • 大文字、小文字、数字、特殊文字のうち3つ
  • 過去12回のパスワードの再利用は禁止
  • パスワードの有効期限は30~90日

答え2

ポリシーの制限が厳しくなるほど、アカウントのロック解除やパスワードのリセットを必要とするユーザーからの問い合わせが増えることを覚えておいてください。ポリシーの制限が緩くなるほど、組織がさらされるリスクが高まります。

デフォルトでは、複雑なドメイン パスワード ポリシーは (少なくとも 2003 年までは) 同じです。ルールを変更する方法や手段はありますが、私の理解では、それは非常に複雑で、気が弱い人には向いていません。つまり、ユーザーのパスワードを大文字 3 文字、特殊文字 2 文字、数字 2 文字などにすることはできません。

設定すると次のようになります有効にするパスワードは複雑さの要件を満たす必要がありますデフォルトドメイングループポリシーの設定:

パスワードは複雑さの要件を満たす必要があります。

このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。このポリシーを有効にすると、パスワードは次の最小要件を満たす必要があります。

  • ユーザーのアカウント名またはユーザーのフルネームの連続する2文字を超える部分を含まない 長さが6文字以上であること

  • 次の 4 つのカテゴリのうち 3 つのカテゴリの文字を含みます。

  • 英語の大文字(AからZ)

  • 英語の小文字(a>からz)

  • 10進数の数字(0から9以上)

  • アルファベット以外の文字(例:!、$、#、%)

パスワードが変更または作成されるときには、複雑さの要件が適用されます。

あなたができるただし、設定は次のとおりです。

  • パスワードの最小文字数
  • パスワードの最小有効期間
  • パスワードの有効期間
  • パスワード履歴
  • アカウント ロックアウトしきい値 (無効なログイン試行)
  • アカウントロックアウト期間

すべてのドメインで、複雑さ、最低 8 文字、最低 14 日間の有効期限、最大 90 日間の有効期限、14 件のパスワード履歴、5 回の無効なログイン試行、30 分のロックアウト期間を採用しています。

答え3

duffbeer703 のリンクは良いです。特定のパスワード制限と最小要件には技術的な理由があります。特に、完全に同種の環境でない場合は、これらの制限を調べる必要があります。

いずれにせよ、8 文字、3 文字または 4 文字のグループ ルールは、かなり標準的です。私が個人的に行っているのは、パスワードではなくパスフレーズを作成するようにユーザーをトレーニングすることです。これにより、パスワードの作成がはるかに簡単になり、ユーザーはすべての文字要件を組み込む方法を考えるのにそれほど時間を費やす必要がなくなります。「It's sunny. Yippee!」のようなパスワードは、作成も記憶も簡単です。

ただし、この方法には問題があります。パスフレーズを書くときに正しい英語の文法を使用すると、可能な組み合わせの総数がいくらか制限されます。つまり、常に大文字で始まりピリオドで終わるパスワードは、大文字とピリオドが含まれているという理由だけで強力になるわけではなく、事前に推測できるため弱くなります。

他の標準的な Windows ドメイン ルールは、四半期ごとにパスワードの変更を要求する以外は、私の意見では問題ありません。個人的には、パスワードの有効期限という考え方には賛成できません。アカウントが侵害された場合、30 日でも永遠です。いずれにしても、パスワードを変更しなければならないと、人々は本当に怒ります。

パスワードに関することならセキュリティの専門家でさえ妥協点を見出せないので、極端なアドバイスは、特にセキュリティが厳しい状況でない限り、ほとんどが愚かだと言う。私が最も重要だと考えるのは、そして実際にユーザーに承認してもらうのは、次のような声明だ。「パスワードを絶対に誰とも共有しないでください。相手が誰であろうと、休暇中になぜあなたのコンピュータにアクセスしなければならないかは関係ありません。パスワードのセキュリティはあなたの責任です。」私が見た限りでは、アカウントの最大の悪用は、パスワードの共有によるものです。133t ハッカーに関するその他の問題は、普通のビジネスではほとんど問題になりません。

答え4

NIST の発表は問題ありません。ドメイン パスワード ポリシーは、パスワードを共有しないようにユーザーに教育することほど重要ではありません。パスワードがキーボードに貼り付けられたり共有されたりしない限り、有効期限のないパスワードに本質的に問題はありません。基本的に、設定するパラメータは何でも問題ありませんが、考慮すべき 2 つの最も重要な点は次のとおりです。

アカウント ロックアウトしきい値 (無効なログイン試行) アカウント ロックアウト期間

これによって制限されるのは、人々があなたのセキュリティを総当たり攻撃する能力です。私は通常、しきい値を5、期間を2時間にすることを推奨していますが、それは状況によって異なります。Bodenが指摘したように、セキュリティの専門家でさえ、安全なパスワードポリシーが何であるかについて意見が一致していません。実際、私は実装します。サーバーとドメインの分離パスワード ポリシーについて心配する前に、パスワードをお教えします。ただし、まだ私のリソースにアクセスすることはできません。

関連情報