パスワードの変更禁止期間
[パスワードの変更禁止期間] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[パスワードの変更禁止期間] ポリシー設定は、パスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、ユーザーはパスワードを変更するように求められます。1 ~ 999 の日数が経過したらパスワードが期限切れになるように設定するか、日数を 0 に設定して無期限のパスワードを指定することができます。[パスワードの有効期間] が 1 ~ 999 日の場合、パスワードの変更禁止期間は有効期間よりも短くする必要があります。[パスワードの有効期間] を 0 に設定した場合、[パスワードの変更禁止期間] は、0 ~ 998 までの日数を指定できます。
設定可能な値
0 ~ 998 のユーザーが指定した日数
未定義
ベスト プラクティス
[パスワードの変更禁止期間] の値を 2 日に設定します。日数を 0 に設定すると、すぐにパスワードを変更できますが、推奨されません。
ユーザーのパスワードを設定し、管理者が設定したパスワードを変更するようユーザーに求めるには、[ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにする必要があります。そのように設定しないと、[パスワードの変更禁止期間] で指定した日数が経過するまで、ユーザーはパスワードを変更できません。
場所
コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
既定のドメイン ポリシー |
1 日 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
0 日 |
ドメイン コントローラーの有効な既定の設定 |
1 日 |
メンバー サーバーの有効な既定の設定 |
1 日 |
クライアント コンピューターでの GPO の有効な既定の設定 |
1 日 |
ポリシー管理
このセクションでは、このポリシーの管理をサポートする機能、ツール、およびガイダンスについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
ユーザーは、使い慣れたパスワードの使用を希望する場合があります。簡単に思い出すことができ、セキュリティ上の危険と伴わないと信じているためです。残念ながら、パスワードには危険が伴います。ユーザーに関するデータを把握している攻撃者が、特定の個人のユーザー アカウントを狙う場合は、古いパスワードの再利用がセキュリティの侵害の原因となる可能性があります。
パスワードが再利用されないように対処するには、セキュリティ設定を組み合わせる必要があります。このポリシー設定を [パスワードの履歴を記録する] ポリシー設定で使用して、簡単に古いパスワードを再利用できないようにします。たとえば、[パスワードの履歴を記録する] ポリシー設定を構成する場合、ユーザーは過去 12 回までのパスワードを再利用することはできませんが、[パスワードの変更禁止期間] ポリシー設定を 0 よりも大きい数字に構成していない場合は、ユーザーは数分間に 13 回パスワードを変更して、最初のパスワードを再利用する可能性があります。[パスワードの履歴を記録する] ポリシー設定を有効にするためには、このポリシー設定を 0 よりも大きい数字に構成する必要があります。
対策
[パスワードの変更禁止期間] ポリシー設定を 2 日以上の値に構成します。ユーザーはこの制約を理解し、この 2 日の期間内にパスワードを変更する必要がある場合は、ヘルプ デスクに問い合わせる必要があります。日数を 0 に構成すると、すぐにパスワードを変更できますが、推奨されません。
潜在的な影響
ユーザーのパスワードを設定して、ユーザーが最初にログオンしたときにパスワードを変更させるには、管理者は [ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにする必要があります。そうしないと、ユーザーは翌日までパスワードを変更することができません。