パスワードの履歴を記録する
[パスワードの履歴を記録する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[パスワードの履歴を記録する] ポリシー設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある一意の新しいパスワードの数を決定します
パスワードの再利用はどの組織においても重要な問題です。多くのユーザーは、自分のアカウントで長期間にわたり同じパスワードを再利用することを望みます。特定のアカウントで同じパスワードが使用される期間が長いほど、攻撃者がブルート フォース攻撃によってパスワードを判別する可能性が高まります。ユーザーによるパスワードの変更が必須であっても、以前のパスワードを再利用できる場合には、適切なパスワード ポリシーの有効性が大幅に低下します。
[パスワードの履歴を記録する] で小さい値を指定すると、ユーザーは少数の同じパスワードを繰り返して使用することができます。また、[パスワードの変更禁止期間] を設定しない場合、ユーザーは連続して何回でもパスワードを変更でき、必要に応じて最初のパスワードを再利用することもできます。
設定可能な値
ユーザー指定の 0 ~ 24 の数
未定義
ベスト プラクティス
[パスワードの履歴を記録する] を 24 に設定します。これにより、パスワードの再利用で引き起こされる脆弱性が減少します。
[パスワードの有効期間] で、パスワードの有効期間を 60 ~ 90 日の間に設定します。作業が滞るのを防ぐため、大きなビジネス サイクルの合間にパスワードの有効期限が切れるように設定してみてください。
パスワードを即座に変更することができないように [パスワードの変更禁止期間] を構成します。
場所
コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
24 個のパスワードを記憶 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
0 個のパスワードを記憶 |
ドメイン コントローラーの有効な既定の設定 |
24 個のパスワードを記憶 |
メンバー サーバーの有効な既定の設定 |
24 個のパスワードを記憶 |
クライアント コンピューターでの GPO の有効な既定の設定 |
24 個のパスワードを記憶 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ユーザーが同じパスワードを使用する期間が長いほど、攻撃者がブルート フォース攻撃によってパスワードを判別する可能性が高まります。また、危害を受けた可能性があるアカウントは、パスワードを変更しない限り攻撃に利用されることがあります。パスワードの変更が必要でも、パスワードの再使用が禁止されていない場合、またはユーザーが継続的に少数のパスワードを再利用する場合は、適切なパスワード ポリシーの有効性は大幅に削減します。
このポリシー設定に小さい値を指定した場合、ユーザーは同じ少数のパスワードを繰り返し使用できます。また、[パスワードの変更禁止期間] ポリシー設定を構成しなかった場合、ユーザーは最初のパスワードを再利用できるまで、繰り返しパスワードを変更する可能性があります。
注
アカウントがいったん侵害されると、パスワードを単にリセットするだけでは悪意のあるユーザーを規制するのに十分ではありません。パスワードが特定の時間に自動的に既知の値に変更されるように、該当ユーザーの環境を悪意のあるユーザーが変更した可能性があるためです。アカウントが侵害された場合は、影響を受けたすべてのシステムを通常の操作に復元し、システムがもはや危害を受けていないことを確認してから、該当のアカウントを削除してユーザーに新しいアカウントを割り当てることをお勧めします。
対策
構成、[パスワードの履歴を記録する] ポリシー設定を 24 (最大設定) に構成すると、パスワードの再利用によって引き起こされる脆弱性の数を最小限に抑えることに役立ちます。
また、このポリシー設定を有効にするために、[パスワードの変更禁止期間] と [パスワードの有効期間] のポリシー設定の有効な値を構成する必要があります。
潜在的な影響
[パスワードの履歴を記録する] 設定を 24 に構成する主な影響は、ユーザーが古いパスワードの変更を求められるたびに新しいパスワードを作成する必要があることです。ユーザーがパスワードを一意の新しい値に変更することを求められた場合、忘れないようにどこかにパスワードを書き留めるリスクが増大します。もう 1 つのリスクは、ユーザーが覚えやすいように増分変化するパスワード (たとえば、password01、password02 など) を作成する可能性があることです。攻撃者はこのようなパスワードを容易に予想できます。また、[パスワードの有効期間] のポリシー設定の値を極端に小さくすると、パスワードを忘れたユーザーが頻繁にヘルプデスクにパスワードのリセットを依頼するため、管理オーバーヘッドが増大する可能性があります。