Windows 11/10 で Windows ログインパスワードポリシーとアカウントロックアウトポリシーを強化する

コンピュータを不正使用から保護するために、Windows 11/10 にはパスワードを使用してコンピュータを保護する機能が備わっています。あ強力なパスワードしたがって、コンピュータのセキュリティに関する限り、これが防御の最前線となります。

Windows コンピュータのセキュリティを強化したい場合は、Windows ログインパスワードポリシー組み込みを使用してローカルセキュリティポリシーまたは Secpol.msc。多くの設定の中にネストされているのは、コンピューターのパスワードポリシーを構成できる便利なオプションのセットです。

Windows ログインパスワードポリシーを強化する

ローカルセキュリティポリシーを開いて使用するには、次の手順を実行します。走る、タイプsecpol.mscそしてEnterを押します。左側のペインで、アカウントポリシー > パスワードポリシー。右側のペインに、パスワードポリシーを構成するための設定が表示されます。または、次のように開くこともできます。gpedit.mscそして、次の場所に移動します。

ローカルコンピューターポリシー\コンピューターの構成\Windows の設定\セキュリティの設定\アカウントポリシー\

これらは構成できるパラメータの一部です。それぞれをダブルクリックして、[プロパティ] ボックスを開きます。ドロップダウンメニューから必要なオプションを選択して選択できます。設定したら、忘れずに「適用/OK」をクリックしてください。

1]パスワード履歴を強制する

このポリシーを使用すると、ユーザーがしばらく経っても古いパスワードを何度も使用しないようにできます。この設定は、古いパスワードを再利用する前に、ユーザーアカウントに関連付ける必要がある一意の新しいパスワードの数を決定します。間の任意の値を設定できます。デフォルトは、ドメインコントローラーでは 24、スタンドアロンサーバーでは 0 です。

2] パスワードの最大有効期限

特定の日数が経過した後にユーザーにパスワードの変更を強制できます。 1 ～ 999 の日数が経過するとパスワードが期限切れになるように設定したり、日数を 0 に設定してパスワードが期限切れにならないように指定したりできます。デフォルトは 42 日に設定されています。

3] パスワードの最低有効期限

ここでは、パスワードを変更するまでに使用しなければならない最小期間を強制できます。 1 ～ 998 日の値を設定できます。または、日数を 0 に設定してすぐに変更を許可できます。デフォルトは、ドメインコントローラーでは 1、スタンドアロンサーバーでは 0 です。この設定はパスワードポリシーを強化するものではないかもしれませんが、ユーザーがパスワードを頻繁に変更しないようにしたい場合は、このポリシーを設定できます。

4] パスワードの最小長

これは重要な設定なので、ハッキングの試みを防ぐために強制することもできます。 1 ～ 14 文字の値を設定できます。または、文字数を 0 に設定してパスワードが不要であることを確立できます。デフォルトは、ドメインコントローラーでは 7、スタンドアロンサーバーでは 0 です。

必要に応じて、さらに 2 つの設定を有効にすることもできます。それぞれの [プロパティ] ボックスを開いたら、[有効] および [適用] を選択してポリシーを有効にします。

5] 最小パスワード長の監査

このセキュリティ設定は、パスワード長監査警告イベントが発行される最小パスワード長を決定します。この設定は 1 ～ 128 で構成できます。環境内で最小パスワード長の設定を増やすことによる潜在的な影響を判断する場合にのみ、この設定を有効にして構成する必要があります。

この設定が定義されていない場合、監査イベントは発行されません。
この設定が定義されており、最小パスワード長設定以下の場合、監査イベントは発行されません。
この設定が定義されており、最小パスワード長の設定より大きく、新しいアカウントのパスワードの長さがこの設定より短い場合、監査イベントが発行されます。

6] パスワードは複雑さの要件を満たす必要があります

パスワードがより複雑になり、侵害が困難になるため、使用したいもう 1 つの重要な設定です。このポリシーが有効な場合、パスワードは次の最小要件を満たしている必要があります。

ユーザーのアカウント名、または連続 2 文字を超えるユーザーのフルネームの一部が含まれていないこと
長さは 6 文字以上であること。次の 4 つのカテゴリのうち 3 つの文字が含まれていること。
英語の大文字 (A ～ Z)
英語の小文字 (a ～ z)
基本 10 桁 (0 ～ 9)
アルファベット以外の文字 (!、$、#、% など)

7] パスワードの最小長制限を緩和する

この設定は、パスワードの最小長の設定を従来の制限である 14 を超えて増やすことができるかどうかを制御します。

この設定が定義されていない場合、パスワードの最小長は最大 14 に設定される可能性があります。
この設定が定義されて無効になっている場合、パスワードの最小長は最大 14 に構成できます。
この設定が定義され有効になっている場合、パスワードの最小長は 14 より長く設定される可能性があります。

8] 可逆暗号化を使用してパスワードを保存する

このセキュリティ設定は、オペレーティングシステムが元に戻せる暗号化を使用してパスワードを保存するかどうかを決定します。可逆暗号化を使用してパスワードを保存することは、パスワードの平文バージョンを保存することと本質的に同じです。このため、アプリケーションの要件がパスワード情報を保護する必要性を上回る場合を除き、このポリシーを有効にしてはいけません。

読む:Windows でパスワードポリシーをカスタマイズする方法。

Windows 11/10のアカウントロックアウトポリシー

パスワードポリシーをさらに強化するために、ロックアウト期間としきい値を設定することもできます。これにより、特定の回数失敗した後に潜在的なハッカーの侵入を阻止できます。これらの設定を構成するには、左側のペインで、アカウントロックアウトポリシー。

1] アカウントのロックアウト期間

このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト状態を維持する分数を決定します。使用可能な範囲は 0 分から 99,999 分です。アカウントのロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされます。アカウントロックアウトしきい値が定義されている場合、アカウントロックアウト期間はリセット時間以上である必要があります。

デフォルト: なし。このポリシー設定は、アカウントのロックアウトしきい値が指定されている場合にのみ意味を持ちます。

この設定を使用すると、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト状態が続く分数を修正できます。 0分～99,999分の間で任意の数値を設定できます。このポリシーは、アカウントロックアウトしきい値ポリシーと一緒に設定する必要があります。

2] アカウントのロックアウトしきい値

このポリシーを設定すると、無効なログインの数を制御できます。デフォルトは 0 ですが、ログオン試行失敗回数を 0 ～ 999 回の間で設定できます。

読む： Windows でのログイン試行回数を制限する。

3] 管理者アカウントのロックアウトを許可する

このセキュリティ設定は、組み込みの管理者アカウントがアカウントロックアウトポリシーの対象となるかどうかを決定します。

ブルートフォース攻撃これらは、今日の Windows マシンに対する攻撃方法の上位 3 つのうちの 1 つです。さらなるブルートフォース攻撃/試みを防ぐために、Microsoft は管理者アカウントのアカウントロックアウトの実装を開始しました。したがって、Windows 11 には、RDP やその他のブルートフォースパスワードベクトルを軽減するためのデフォルトのアカウントロックアウトポリシーが追加されました。

読む:Windows Server に対するブルートフォース攻撃をブロックする方法

4] アカウントロックアウトカウンタをリセットする

このセキュリティ設定は、ログオン試行失敗後、失敗したログオン試行カウンタが 0 不正なログイン試行にリセットされるまでに経過する必要がある分数を決定します。使用可能な範囲は 1 分から 99,999 分です。このポリシーも、アカウントロックアウトしきい値ポリシーと一緒に設定する必要があります。

安全に、安全に！

知っているWindows の AuditPol?そうでない場合は、それについて読んでみるとよいでしょう。

Windows のログインパスワードを確認するにはどうすればよいですか?

どこかにメモしておかないとできません。 Windows は、ハッシュ化されたすべてのアカウントパスワードを資格情報マネージャーに保存します。誰もそれを平文形式で見ることはできません。アカウントのパスワードを忘れた場合は、管理者にパスワードのリセットを依頼するか、PC に接続されている Microsoft アカウントを使用してサインインしてください。