暗号化を元に戻せる状態でパスワードを保存する
[暗号化を元に戻せる状態でパスワードを保存する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
リファレンス
[暗号化を元に戻せる状態でパスワードを保存する] ポリシー設定では、認証にユーザー パスワードが必要なプロトコルを使うアプリケーションがサポートされます。復元できる方法で暗号化されたパスワードを保存すると、暗号化されたパスワードの暗号化を解除できます。知識の豊富な攻撃者は、この暗号化を解除し、セキュリティ侵害されたアカウントを使ってネットワーク リソースにログオンできます。このため、アプリケーションの要件がパスワード情報を保護する必要性よりも重要でない限り、ドメインのすべてのユーザーに対して [暗号化を元に戻せる状態でパスワードを保存する] を有効にしないでください。
リモート アクセスまたはインターネット認証サービス (IAS) を通じてチャレンジ ハンドシェイク認証プロトコル (CHAP) を使う場合、このポリシー設定を有効にする必要があります。CHAP はリモート アクセスとネットワーク接続に使われる認証プロトコルです。また、インターネット情報サービス (IIS) のダイジェスト認証でも、このポリシー設定を有効にする必要があります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
[暗号化を元に戻せる状態でパスワードを保存する] の値を無効に設定します。リモート アクセスまたは IAS を通じて CHAP を使う場合、または IIS のダイジェスト認証を使う場合は、この値を [有効] に設定する必要があります。これにより、ユーザーごとにグループ ポリシーを使って設定を適用する場合にセキュリティ リスクが生じます。なぜなら Active Directory ユーザーとコンピューターで適切なユーザー アカウント オブジェクトを開く必要があるためです。
注
ビジネス要件がパスワード情報を保護する必要性より重要でない限り、このポリシー設定を有効にしないでください。
場所
コンピューターの構成\Windows 設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー\
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。既定値はポリシーのプロパティ ページにも表示されます。
サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
---|---|
既定のドメイン ポリシー |
無効 |
既定のドメイン コントローラー ポリシー |
無効 |
スタンドアロン サーバーの既定の設定 |
無効 |
ドメイン コントローラーの有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターでの GPO の有効な既定の設定 |
無効 |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定を有効にすると、オペレーティング システムがパスワードを保存する際の形式によって、全体的なセキュリティが低下する可能性があります。
対策
[暗号化を元に戻せる状態でパスワードを保存する] ポリシー設定を無効にします。
潜在的な影響
組織でリモート アクセスまたは IAS を通じて CHAP を使う場合、または IIS のダイジェスト認証を使う場合は、このポリシー設定を構成して有効にする必要があります。これにより、ユーザーごとにグループ ポリシーを使って設定を適用する場合にセキュリティ リスクが生じます。なぜなら Active Directory ユーザーとコンピューターで適切なユーザー アカウント オブジェクトを開く必要があるためです。