ステップバイステップ ガイド : Windows Server 2003 Active Directory における強力なパスワード ポリシーの強制

公開日: 2005年1月7日

このステップバイステップ ガイドでは、グループ ポリシー オブジェクト (GPO) を使用して強力なパスワード ポリシーを定義し、コンピュータ環境のセキュリティを拡張する方法について、詳しく説明します。

トピック

はじめに  はじめに
概要  概要
グループ ポリシー オブジェクトを使用したパスワード ポリシーの設定  グループ ポリシー オブジェクトを使用したパスワード ポリシーの設定
関連資料  関連資料

はじめに

ステップバイステップ ガイド

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、多くの共通点を持つオペレーティング システム構成における実際上の操作を説明します。これらのガイドでは、Windows Server 2003 をインストールして共通ネットワーク インフラストラクチャを構築することから説明を始めます。そして、Active Directory® の構成、Windows XP Professional ワークステーションのインストールについて説明し、最後にワークステーションをドメインに追加する方法について説明します。これらのステップバイステップ ガイドの各分冊では、この共通ネットワーク インフラストラクチャが構築されていることを前提としています。このガイドで説明するネットワーク インフラストラクチャとは異なるインフラストラクチャを構築する場合は、適宜変更を加えながらガイドを読み進めてください。

共通ネットワーク インフラストラクチャの構築には、以下のガイドで説明する操作を完了する必要があります。

第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール

第 2 部 : Windows XP Professional ワークステーションのインストールとドメインへの接続

共通ネットワーク インフラストラクチャを構築すると、その他のステップバイステップ ガイドの操作を実行できるようになります。ただし、その他のステップバイステップ ガイドでは、共通ネットワーク インフラストラクチャ構築の要件に加えて、その他の前提条件が必要になる場合があります。詳細については、各ステップバイステップ ガイドの説明を参照してください。

Microsoft Virtual PC

Microsoft Windows Server 2003 展開のステップバイステップ ガイドで説明する内容は、現実のラボ環境で実装することができ、Microsoft Virtual PC 2004 や Microsoft Virtual Server 2005 のような仮想化テクノロジを使って実装することもできます。仮想コンピュータ テクノロジを使用すると、単一の物理サーバー上で複数のオペレーティング システムを並行して稼働させることができます。Virtual PC 2004 と Virtual Server 2005 は、ソフトウェアのテストや開発、レガシ アプリケーションの移行、サーバー統合の各シナリオにおいて、業務効率を高めるように設計されています。

Microsoft Windows Server 2003 展開のステップバイステップ ガイドでは、現実のラボ環境での構成を前提としています。ただし、大部分の構成はそのまま仮想環境に適用できます。

このステップバイステップ ガイドに記載する概念を仮想環境に適用する場合の説明については、ここでは割愛します。

重要

このドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、イベントなどの名称は架空のものです。実在する会社名、組織名、製品名、ドメイン名、電子メール アドレス、ロゴ、個人名、場所名、イベント名などは一切関係ありません。

この共通インフラストラクチャは、プライベート ネットワークで使用する目的で設計されています。共通インフラストラクチャで使用する架空の企業名と DNS (Domain Name System) 名は、インターネット上で使用するための登録が行われていません。パブリック ネットワークやインターネット上では、この名前を使用しないようにしてください。

この共通インフラストラクチャの Active Directory サービス構造は、Windows Server 2003 の変更と構成管理機能の概要、および Active Directory との関連を示すために設計されたものです。企業で Active Directory を構成する場合を想定して設計されているわけではないことに注意してください。

ページのトップへページのトップへ

概要

大部分のユーザーは、キーボードから対になった自分のユーザー名とパスワードを入力して、ローカル コンピュータまたはリモート コンピュータにログオンします。その他にも、一般的なオペレーティング システムで認証に使用できるテクノロジ (バイオメトリクス、スマート カード、ワンタイム パスワードなど) はありますが、ほとんどの組織では従来のパスワードを使用しており、今後も数年間は使用することが予想されます。そのため、組織で、強力なパスワードの使用を必須にするなど、コンピュータのパスワード ポリシーを定義し、強制することが重要になります。

強力なパスワードとは、パスワードの特定を困難にする、多くの複雑さの要件 (長さ、文字カテゴリなど) を満たすものです。組織で強力なパスワード ポリシーを確立すると、ハッカーによるユーザーの偽装を阻止できるため、結果的に機密情報の損失、公開、破損が防止されます。

強力なパスワード ポリシーを実装する場合、組織内のコンピュータが、Active Directory ドメインのメンバであるか、スタンドアロン コンピュータであるか、その両方が混在するかによって、次のタスクの一方または両方を実行する必要があります。

Active Directory ドメインのパスワード ポリシー設定を構成する。

スタンドアロン コンピュータのパスワード ポリシー設定を構成する。

このドキュメントでは、グループ ポリシー オブジェクト (GPO) によって Active Directory ドメインのメンバにパスワード ポリシー設定を構成する方法を説明します。

適切なパスワード ポリシー設定を構成すると、組織のユーザーは強力なパスワードに必要な長さと複雑さの要件に合致した新しいパスワードを作成できます。ただし、ユーザーがこのパスワードをすぐには変更できなくなります。

前提条件

第 1 部 : ドメイン コントローラとしての Windows Server 2003 のインストール

ステップバイステップ ガイド : Active Directory の管理

ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能

本ガイドでの要件

資格情報 このガイドで説明する操作手順を実行するには、Domain Admins グループのメンバとしてログオンする必要があります。

ページのトップへ ページのトップへ

グループ ポリシー オブジェクトを使用したパスワード ポリシーの設定

ネットワーク内のコンピュータでパスワード ポリシーを構成する前に、関係のある設定を特定し、設定に使用する値を決定し、Windows でパスワード ポリシーの構成情報を格納する方法を把握する必要があります。

メモ Windows 95、Windows 98、Windows Millennium Edition オペレーティング システムでは、パスワード ポリシーなどの高度なセキュリティ機能をサポートしていません。ネットワーク内に、このようなオペレーティング システムを実行するスタンドアロン コンピュータ (ドメインに属さないコンピュータ) が存在する場合、そのコンピュータに対してパスワード ポリシーを強制することはできません。ただし、このようなオペレーティング システムを実行するコンピュータであっても、Active Directory ドメインのメンバであれば、ドメイン レベルでのみパスワード ポリシーを実施できます。

パスワード ポリシーに関係のある設定の特定

Windows 2000、Windows XP、Windows Server 2003 の場合、パスワードの特性に関係のある設定として、[パスワードの履歴を記録する]、[パスワードの有効期間]、[パスワードの変更禁止期間]、[パスワードの長さ]、[パスワードは、複雑さの要件を満たす必要がある]、[暗号化を元に戻せる状態でパスワードを保存する] という 6 つの項目を構成できます。組織のビジネス要件に合わせて設定値を決定する方法については、Microsoft セキュリティ ガイダンス センターの「Selecting Secure Passwords」 (英語) を参照してください。

[パスワードの履歴を記録する] では、古いパスワードをもう一度使用できるようになるまで記録されるパスワードの数 (重複しないパスワードの履歴の数) を指定します。この設定には、0 ~ 24 の値を指定できます。0 に設定すると、パスワードの履歴は無効になります。一般には、この値を 24 パスワードに設定します。

[パスワードの有効期間] では、パスワードを使用できる日数を指定します。この日数を過ぎると、パスワードを変更するように要求されます。この設定には、0 ~ 999 の値を指定できます。0 に設定するとパスワードは有効期限切れになりません。この値を小さくしすぎると、ユーザーがわずらわしさを感じる可能性があります。値が大きすぎたり、値を無効にしたりすると、ハッカーがパスワードを推測する時間的な余裕を与えることになります。一般には、この値を 42 日間に設定します。

[パスワードの変更禁止期間] では、パスワードが変更可能になるまでの日数を指定します。この日数の間は同じパスワードを使用する必要があります。この設定は、[パスワードの履歴を記録する] 設定と併用するように設計されています。これによって、短期間のうちに必要な回数分だけパスワードを再設定して古いパスワードに戻す、という操作を防ぐことができます。この設定には、0 ~ 999 の値を指定できます。0 に設定するとパスワードをすぐに変更できます。この値は 2 日間に設定することをお勧めします。

[パスワードの長さ] では、パスワードに使用できる文字の最小数を指定します。Windows 2000、Windows XP、Windows Server 2003 では、長さが 28 文字までのパスワードをサポートしていますが、この設定には 0 ~ 14 の値しか指定できません。0 に設定すると、パスワードを空にすることができるようになるため、0 は使用しないようにしてください。この値は 8 文字に設定することをお勧めします。

[パスワードは、複雑さの要件を満たす必要がある] では、パスワードの複雑さの要件を満たす必要があるかどうかを指定します。この設定が有効な場合、ユーザー パスワードは次の要件を満たす必要があります。

パスワードの長さは 6 文字以上である。

次の 5 つのカテゴリのうち、3 つ以上のカテゴリの文字が含まれる。

英大文字 (A ~ Z) 英小文字 (a ~ z) 10 進数基数 (0 ~ 9) アルファベット以外の文字 (!、$、#、% など) Unicode 文字

パスワードに、ユーザーのアカウント名の 3 文字以上を含まない。

アカウント名の長さが 3 文字に満たない場合、パスワードが拒否される可能性がかなり高くなるため、このチェックは実行されません。ユーザーのフルネームをチェックする際、一部の文字 (コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、シャープ記号、タブ) は、名前を個々のトークンに分割する区切り文字として扱われます。長さが 3 文字以上のトークンごとに、そのトークンがパスワードに含まれるかどうかが検索され、含まれる場合は、パスワードの変更が拒否されます。たとえば、"Erin M. Hagens" という名前は、"Erin"、"M"、"Hagens" という 3 つのトークンに分割されます。2 つ目のトークンは長さが 1 文字しかないため、無視されます。したがって、このユーザーは、パスワードのどこかに "erin" または "hagens" が含まれるパスワードには変更できません。これらのチェックでは、すべて大文字小文字は区別されません。

この複雑さの要件は、パスワードの変更時と新しいパスワードの作成時に強制されます。この設定は有効にすることをお勧めします。

[暗号化を元に戻せる状態でパスワードを保存する] では、認証にユーザーのパスワード情報が必要となるプロトコルを使うアプリケーションをサポートします。暗号化を元に戻せる状態でパスワードを保存するということは、実質的にパスワードをプレーンテキストで保存するのと同じことです。このため、パスワード情報の保護よりもアプリケーションの要件が優先される場合にのみ、このポリシーを有効にしてください。

このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) でチャレンジ ハンドシェイク認証プロトコル (CHAP) を使用する場合に必要です。また、インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合にも必要です。

パスワード ポリシー情報の保存

パスワード ポリシーを実装する前に、パスワード ポリシー構成情報の保存方法を把握する必要があります。これは、パスワード ポリシーの保存メカニズムによって、実装可能なパスワード ポリシーの種類が限定され、パスワード ポリシー設定の適用方法にも影響が及ぶためです。

1 つのアカウント データベースには、1 つのパスワード ポリシーしか指定できません。Active Directory ドメインは、スタンドアロン コンピュータのローカル アカウント データベースと同様に、1 つのアカウント データベースと見なされます。ドメインのメンバであるコンピュータにもローカル アカウント データベースがありますが、Active Directory ドメインを保持するほとんどの組織の場合、ユーザーは、ドメインベースのアカウントでコンピュータとネットワークにログオンする必要があります。このため、ドメインでパスワード文字の最小数を 14 文字に指定すると、ドメインのすべてのユーザーは、新しいパスワードを作成するときに 14 文字以上のパスワードを使用することが求められます。特定グループのユーザーに異なる要件を構築するには、そのアカウント用に新しいドメインを作成することが必要です。

Active Directory ドメインでは、GPO を使用して、パスワード ポリシー設定などの幅広い構成情報を格納しています。Active Directory は、複数レベルの組織単位 (OU) と GPO をサポートする階層ディレクトリ サービスですが、ドメインのパスワード ポリシー設定は、ドメインのルート コンテナで定義する必要があります。1 つ目のドメイン コントローラを新しい Active Directory ドメイン用に作成すると、Default Domain Policy GPO とDefault Domain Controller Policy GPO という 2 つの GPO が自動的に作成されます。Default Domain Policy は、ルート コンテナにリンクされます。Default Domain Policy には、既定のパスワード ポリシー設定など、ドメイン全体にわたるいくつかの重要な設定が含まれます。Default Domain Controller Policy は、Domain Controllers 組織単位 (OU) にリンクされ、ドメイン コントローラのセキュリティ初期設定が含まれます。

最善の方法は、この組み込み GPO の修正を防ぐことです。既定の設定とは異なるパスワード ポリシー設定を適用する必要がある場合、代わりに新しい GPO を作成し、ドメインのルート コンテナ にその GPO をリンクして、組み込みの GPO よりも高い優先度を割り当てます。設定内容が矛盾する 2 つの GPO を 1 つのコンテナにリンクすると、優先度の高い GPO が優先されます。

パスワード ポリシー設定の実装

ここでは、組織のコンピュータにパスワード ポリシー設定を実装しセキュリティを向上する方法を、順を追って説明します。

新しいルート ドメイン グループ ポリシー オブジェクトを作成するには

  1. [スタート] メニューで、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[GPWalkThrough] をクリックします。

    メモ GPWalkThrough Microsoft 管理コンソール (MMC) は、「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」で作成したものです。このガイドで説明する手順を終了していない場合は、適宜変更を加えながら手順を進めてください。

  2. [GPWalkThrough] MMC コンソールで、[Active Directory ユーザーとコンピュータ] を展開し、[contoso.com] を右クリックして、[プロパティ] をクリックします。次に、[グループ ポリシー] タブをクリックします。

    メモ [Default Domain Policy] という組み込みポリシーを編集するのではなく、新しい GPO を作成することをお勧めします。セキュリティ設定で重大な問題が発生した場合に、回復が容易になります。新しいセキュリティ設定によって問題が発生する場合でも、問題が発生した設定内容が明確になるまで、新しい GPO を一時的に無効にできます。

  3. [新規] をクリックし、図 1 に示すように、GPO 名に「Domain Password Policy」と入力します。

    図 1.   ルート ドメイン GPO の作成

    図 1. ルート ドメイン GPO の作成

  4. Enter キーを押します。

Domain Password Policy GPO を強制するには

メモ グループ ポリシーの継承と以降の手順の詳細については、「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」を参照してください。

  1. [contoso.com のプロパティ] ページで、[Domain Password Policy] をクリックし、[上へ] をクリックします。

  2. [contoso.com のプロパティ] ページで、[Domain Password Policy] を右クリックし、[上書き禁止] をクリックします。図 2 に示すような [contoso.com のプロパティ] ページが表示されます。

     図 2.   GPO 優先順位の設定

    図 2. GPO 優先順位の設定

パスワード使用ポリシーを定義するには

  1. [contoso.com のプロパティ] ページで、[Domain Password Policy] をダブルクリックします。

  2. グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[アカウント ポリシー] を順に展開し、[パスワードのポリシー] をクリックします。

  3. 詳細ペインで、[パスワードの履歴を記録する] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[パスワードの履歴を記録する回数] の値を「24」に設定します。次に、[OK] をクリックします。

  4. 詳細ペインで、[パスワードの有効期間] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[パスワードの有効期間] の値を「42」に設定します。次に、[OK] をクリックします。さらに、[パスワードの変更禁止期間] の推奨値の変更を確認し、[OK] クリックします。

  5. 詳細ペインで、[パスワードの変更禁止期間] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[パスワードの変更禁止期間] の値を「2」に設定します。次に、[OK] をクリックします。

  6. 詳細ペインで、[パスワードの長さ] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[パスワードの長さ] の値を「8」に設定します。次に、[OK] をクリックします。

  7. 詳細ペインで、[パスワードは、複雑さの要件を満たす必要がある] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[有効] をオンにします。次に、[OK] をクリックします。

  8. 詳細ペインで、[暗号化を元に戻せる状態でパスワードを保存する] をダブルクリックし、[このポリシーの設定を定義する] チェック ボックスをオンにして、[無効] (既定) をオンにします。次に、[OK] をクリックします。図 3 に示すような設定が表示されます。

     図 2.   GPO 優先順位の設定

    図 3. Domain Password Policy の確認
    拡大表示する

パスワードによるスクリーン セーバーの保護を必須にするには

  1. グループ ポリシー オブジェクト エディタで、[コンピュータの構成] を折りたたみます。[ユーザーの構成] で、[管理用テンプレート]、[コントロール パネル] を順に展開し、[画面] をクリックします。

  2. オプション設定 詳細ペインで、[スクリーン セーバーの実行可能ファイル名] をダブルクリックし、[有効] をオンにして、[スクリーン セーバーの実行可能ファイル名] に「scrnsave.scr」を入力します。次に、[OK] をクリックします。

    メモ スクリーン セーバーの実行可能ファイル名の定義は、オプションの設定です。ここでは、パフォーマンスを考慮して定義しました。Windows Server 2003 で基本的なコンピューティング サービスが提供される場合、スクリーン セーバーを有効にすると、処理能力が必要以上に消費され、結果的に組織のコンピュータ運用に必要なリソースが制限される可能性があります。スクリーン セーバーをサーバーに配置する必要がある場合、空のスクリーン セーバー (scrnsave.scr) を使用することを強くお勧めします。[スクリーン セーバーの実行可能ファイル名] 設定を定義するドメイン コントローラ コンテナの下に、追加の GPO を作成することもできます。

  3. 詳細ペインで、[スクリーン セーバーパスワードで保護する] をダブルクリックし、[有効] をオンにして、[スクリーン セーバーの実行可能ファイル名] に「scrnsave.scr」を入力します。次に、[OK] をクリックします。図 4 に示すような設定が表示されます。

     図 4.   ドメイン スクリーン セーバーの確認

    図 4. ドメイン スクリーン セーバーの確認
    拡大表示する

  4. グループ ポリシー オブジェクト エディタで、[ファイル] をクリックし、[終了] をクリックします。[contoso.com のプロパティ] ページの [閉じる] をクリックします。[ファイル] をクリックし、[終了] をクリックして、[Active Directory ユーザーとコンピュータ] を閉じます。プロンプトが表示されたら、[はい] をクリックし、GPWalkThrough MMC を保存します。

パスワードによるスクリーン セーバーの保護を確認するには

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。「gpupdate /force」と入力して [OK] をクリックします。

    メモ  gpupdate によって、セキュリティ設定など、ローカルと Active Directory ベースのグループ ポリシー設定が更新されます。force オプションにより、処理の最適化をすべて無視し、すべての設定を再適用します。

  2. デスクトップを右クリックし、[プロパティ] をクリックして、[スクリーン セーバー] タブをクリックします。スクリーン セーバー名は [(なし)] にし、[パスワードによる保護] チェック ボックスをオンにします。図 5 に示すように、どちらの項目も灰色表示されます。

    図 5.   パスワードによるスクリーンセーバー保護の確認

    図 5. パスワードによるスクリーンセーバー保護の確認

  3. [キャンセル] をクリックします。

ページのトップへ ページのトップへ

関連資料

詳細については、次の資料を参照してください。

セキュリティ ガイダンス キットで安全なパスワードを選択する方法については、http://www.microsoft.com/smallbusiness/gtm/securityguidance/articles/select_sec_passwords.mspx (英語) を参照してください。

Windows Server 2003 のアカウント パスワードとポリシーについては、http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/bpactlck.mspx (英語) を参照してください。

Windows Server 2003 の最新情報については、Windows Server 2003 の Web サイト http://www.microsoft.com/japan/windowsserver2003/ を参照してください。

ページのトップへ ページのトップへ