パスワードの有効期間
[パスワードの有効期間] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[パスワードの有効期間] ポリシー設定は、パスワードを使用できる期間 (日数) を決定します。これを過ぎると、パスワードを変更するようにユーザーが求められます。1 ~ 999 の日数が経過したらパスワードが期限切れになるように設定するか、日数を 0 に設定して無期限のパスワードを指定することができます。[パスワードの有効期間] が 1 ~ 999 日の場合、パスワードの変更禁止期間は有効期間よりも短くする必要があります。[パスワードの有効期間] を 0 に設定した場合、[パスワードの変更禁止期間] は、0 ~ 998 までの日数を指定できます。
注
[パスワードの有効期間] を -1 に設定するのは 0 と同じであり、パスワードが無期限になります。これ以外の負の値に設定するのは、[未定義] の設定と同じです。
設定可能な値
0 ~ 999 のユーザーが指定した日数
未定義
ベスト プラクティス
[パスワードの有効期間] は、環境に応じて 30 ~ 90 日の値に設定します。こうすると、攻撃者がユーザーのパスワードを侵害してネットワーク リソースにアクセスするための時間が制限されます。
場所
コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
42 日 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
42 日 |
ドメイン コントローラーの有効な既定の設定 |
42 日 |
メンバー サーバーの有効な既定の設定 |
42 日 |
クライアント コンピューターでの GPO の有効な既定の設定 |
42 日 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
1 つのパスワードが存在する期間が長いほど、攻撃者がユーザーに関する一般的な知識を得たり、ユーザーがパスワードを共有したりすることにより、ブルート フォース攻撃を受ける可能性が高まります。[パスワードの有効期間] ポリシー設定を 0 に構成して、ユーザーがパスワードを変更する必要がまったくなくなるのは、大きなセキュリティ リスクです。悪意のあるユーザーによってパスワードが侵害された場合に、有効なユーザーのアクセスが許可されている限りそのパスワードを使用し続けることができるためです。
対策
[パスワードの有効期間] ポリシー設定を、組織のビジネス要件に適した値に構成します。
潜在的な影響
[パスワードの有効期間] ポリシー設定が小さすぎる場合、ユーザーは非常に頻繁にパスワードを変更する必要があります。このような構成によって組織内のセキュリティが低下する可能性があります。ユーザーが、セキュリティ保護されていない場所にパスワードを保存したり、パスワードをなくす場合があるためです。このポリシー設定の値が大きすぎる場合は、組織内のセキュリティのレベルが低下します。潜在的な攻撃者が、ユーザーのパスワードを入手したり、侵害したアカウントを悪用したりするためにより多くの時間を得るためです。