アカウントのロックアウトのしきい値Account lockout threshold

適用対象Applies to

  • Windows 10Windows 10

アカウントロックアウトしきい値セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する 考慮事項について説明 します。Describes the best practices, location, values, and security considerations for the Account lockout threshold security policy setting.

リファレンスReference

[ アカウントのロックアウトのしきい値 ] ポリシー設定は、ユーザー アカウントがロックされる原因となるサインイン試行が失敗した回数を決定します。The Account lockout threshold policy setting determines the number of failed sign-in attempts that will cause a user account to be locked. ロックされたアカウントは、リセットするまで、または [アカウントのロックアウト期間] ポリシー設定で指定された分数が期限切れになるまで使用できません。A locked account cannot be used until you reset it or until the number of minutes specified by the Account lockout duration policy setting expires. サインインに失敗した 1 ~ 999 の値を設定するか、値を 0 に設定してアカウントをロックしないという指定を行います。You can set a value from 1 through 999 failed sign-in attempts, or you can specify that the account will never be locked by setting the value to 0. アカウントロックアウトのしきい値が0 より大きい**** 数値に設定されている場合、アカウントロックアウト期間は、 の後のアカウントロックアウトカウンターのリセットの値以上である必要がありますIf Account lockout threshold is set to a number greater than zero, Account lockout duration must be greater than or equal to the value of Reset account lockout counter after.

ブルート フォースパスワード攻撃は、任意またはすべてのユーザー アカウントに対して数千または数百万のパスワードの組み合わせを試みる自動化が可能です。Brute force password attacks can be automated to try thousands or even millions of password combinations for any or all user accounts. 実行できる失敗したサインインの数を制限すると、そのような攻撃の有効性がほぼ排除されます。Limiting the number of failed sign-ins that can be performed nearly eliminates the effectiveness of such attacks. ただし、アカウントのロックアウトしきい値が構成されているドメインでサービス拒否 (DoS) 攻撃が実行される可能性があります。However, it is important to note that a denial-of-service (DoS) attack could be performed on a domain that has an account lockout threshold configured. 悪意のあるユーザーは、組織内のすべてのユーザーに対して一連のパスワード攻撃をプログラムによって試行する可能性があります。A malicious user could programmatically attempt a series of password attacks against all users in the organization. 試行回数がアカウントロックアウトしきい値より大きい場合****、攻撃者は、すべてのアカウントをロックする可能性があります。If the number of attempts is greater than the value of Account lockout threshold, the attacker could potentially lock every account.

ワークステーションのロック解除に失敗すると、[対話型ログオン : ワークステーションのロック解除にドメイン コントローラー認証を要求する] オプションが無効になっている場合でも、アカウントがロックアウトされる可能性があります。Failed attempts to unlock a workstation can cause account lockout even if the Interactive logon: Require Domain Controller authentication to unlock workstation security option is disabled. ログオンしたのと同じパスワードを入力した場合、Windows はロック解除のためにドメイン コントローラーに連絡する必要はありません。ただし、別のパスワードを入力する場合は、別のコンピューターからパスワードを変更した場合に備え、Windows はドメイン コントローラーに連絡する必要があります。Windows doesn’t need to contact a domain controller for an unlock if you enter the same password that you logged on with, but if you enter a different password, Windows has to contact a domain controller in case you had changed your password from another machine.

Possible values

アカウントロックアウトしきい値ポリシー設定に対して、次の 値を 構成できます。It is possible to configure the following values for the Account lockout threshold policy setting:

  • 0 ~ 999 のユーザー定義番号A user-defined number from 0 through 999
  • 未定義Not defined

脆弱性は、この値が構成されている場合と構成されていない場合に存在する可能性があるため、組織は特定された脅威と軽減しようとしているリスクを重み付けする必要があります。Because vulnerabilities can exist when this value is configured and when it is not, organizations should weigh their identified threats and the risks that they are trying to mitigate. これらの設定の詳細については、この記事の 「対策 」を参照してください。For information these settings, see Countermeasure in this article.

ベスト プラクティスBest practices

選択するしきい値は、運用効率とセキュリティのバランスであり、組織のリスク レベルによって異なります。The threshold that you select is a balance between operational efficiency and security, and it depends on your organization's risk level. ユーザー エラーを許容し、ブルート フォース攻撃を阻止するために 、Windows セキュリティ ベースラインでは、組織の許容できる開始点として 10 の値を指定することをお勧めします。To allow for user error and to thwart brute force attacks, Windows security baselines recommend a value of 10 could be an acceptable starting point for your organization.

他のアカウントロックアウト設定と同様に、この値はルールやベスト プラクティスよりもガイドラインの方が多く、「1 つのサイズがすべて収まる」という理由はありません。As with other account lockout settings, this value is more of a guideline than a rule or best practice because there is no "one size fits all." 詳細については、「アカウントロックアウト の構成」を参照してくださいFor more information, see Configuring Account Lockout.

このポリシー設定の実装は、ご使用の運用環境によって異なります。脅威ベクトル、展開されたオペレーティング システム、および展開されたアプリ。Implementation of this policy setting is dependent on your operational environment; threat vectors, deployed operating systems, and deployed apps. 詳細については、この記事 の「実装に関する考慮事項」 を参照してください。For more information, see Implementation considerations in this article.

場所Location

コンピューターの構成\Windows の設定\セキュリティ設定\アカウント ポリシー\アカウント ロックアウト ポリシーComputer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy

既定値Default values

次の表に、実際のポリシー値と有効な既定のポリシー値を示します。The following table lists the actual and effective default policy values. 既定値は、ポリシー設定のプロパティ ページにも表示されます。Default values are also listed on the property page for the policy setting.

サーバーの種類またはグループ ポリシー オブジェクト (GPO)Server type or Group Policy Object (GPO) 既定値Default value
既定のドメイン ポリシーDefault domain policy 0 無効なサインイン試行0 invalid sign-in attempts
既定のドメイン コントローラー ポリシーDefault domain controller policy 未定義Not defined
スタンドアロン サーバーの既定の設定Stand-alone server default settings 0 無効なサインイン試行0 invalid sign-in attempts
ドメイン コントローラーの有効な既定の設定Domain controller effective default settings 0 無効なサインイン試行0 invalid sign-in attempts
メンバー サーバーの有効な既定の設定Member server effective default settings 0 無効なサインイン試行0 invalid sign-in attempts
クライアント コンピューターでの GPO の有効な既定の設定Effective GPO default settings on client computers 0 無効なサインイン試行0 invalid sign-in attempts

ポリシー管理Policy management

このセクションでは、このポリシー設定の管理に役立つ機能とツールについて説明します。This section describes features and tools that are available to help you manage this policy setting.

再起動の要件Restart requirements

なし。None. このポリシー設定の変更は、ローカルに保存したり、グループ ポリシーを通じて配布したりすると、コンピューターを再起動せずに有効になります。Changes to this policy setting become effective without a computer restart when they are saved locally or distributed through Group Policy.

実装に関する考慮事項Implementation considerations

このポリシー設定の実装は、運用環境によって異なります。Implementation of this policy setting depends on your operational environment. 脅威ベクトル、展開されたオペレーティング システム、および展開されたアプリについて検討します。Consider threat vectors, deployed operating systems, and deployed apps. 次に、例を示します。For example:

  • アカウントの盗難や DoS 攻撃の可能性は、システムと環境のセキュリティ設計に基づいて行います。The likelihood of an account theft or a DoS attack is based on the security design for your systems and environment. これらの脅威の既知のリスクと認識されるリスクを考慮して、アカウントロックアウトのしきい値を設定します。Set the account lockout threshold in consideration of the known and perceived risk of those threats.

  • クライアント、サーバー、およびドメイン コントローラー間で暗号化の種類をネゴシエートする場合、Kerberos プロトコルは、このポリシー設定で設定したしきい値の制限にカウントされるアカウント サインインの試行を自動的に再試行できます。When negotiating encryption types between clients, servers, and domain controllers, the Kerberos protocol can automatically retry account sign-in attempts that count toward the threshold limits that you set in this policy setting. 異なるバージョンのオペレーティング システムが展開されている環境では、暗号化の種類のネゴシエーションが増加します。In environments where different versions of the operating system are deployed, encryption type negotiation increases.

  • 環境で使用されているアプリの中で、ユーザーがサインインを試みる回数を効果的に管理する必要があります。Not all apps that are used in your environment effectively manage how many times a user can attempt to sign in. たとえば、ユーザーがアプリを実行するときに接続が繰り返し低下した場合、それ以降に失敗したサインイン試行はすべて、アカウントのロックアウトしきい値にカウントされます。For instance, if a connection drops repeatedly when a user is running the app, all subsequent failed sign-in attempts count toward the account lockout threshold.

アカウントロックアウトに関する Windows セキュリティ 基準推奨の詳細については、「アカウントロックアウトの構成 」を参照してくださいFor more information about Windows security baseline recommendations for account lockout, see Configuring Account Lockout.

セキュリティに関する考慮事項Security considerations

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

注意

ロックアウトしきい値ポリシーは、ローカル メンバー コンピューター ユーザーとドメイン ユーザーの両方に適用され、「脆弱性」で説明されている問題の軽減を許可します。A lockout threshold policy will apply to both local member computer users and domain users, in order to allow mitigation of issues as described under "Vulnerability". ただし、組み込みの Administrator アカウントは高い特権を持つアカウントですが、異なるリスク プロファイルを持ち、このポリシーから除外されます。The built-in Administrator account, however, whilst a highly privileged account, has a different risk profile and is excluded from this policy. これにより、管理者がサインインして問題を修復できないシナリオはありません。This ensures there is no scenario where an administrator cannot sign in to remediate an issue. 管理者として、強力なパスワードなど、追加の軽減策を利用できます。As an administrator, there are additional mitigation strategies available, such as a strong password. 「付録 D: Active Directory での管理者Built-Inのセキュリティ保護」も参照してくださいSee also Appendix D: Securing Built-In Administrator Accounts in Active Directory.

脆弱性Vulnerability

ブルート フォースのパスワード攻撃では、自動メソッドを使用して、任意のユーザー アカウントに対して数百万のパスワードの組み合わせを試してみることができます。Brute force password attacks can use automated methods to try millions of password combinations for any user account. 失敗したサインイン試行回数を制限すると、このような攻撃の有効性はほとんどなくなります。The effectiveness of such attacks can be almost eliminated if you limit the number of failed sign-in attempts that can be performed. ただし、アカウントのロックアウトしきい値が構成されているドメインに対して DoS 攻撃を実行できます。However, a DoS attack could be performed on a domain that has an account lockout threshold configured. 攻撃者は、組織内のすべてのユーザーに対して一連のパスワード攻撃をプログラムによって試行する可能性があります。An attacker could programmatically attempt a series of password attacks against all users in the organization. 試行回数がアカウントのロックアウトしきい値を超える場合、攻撃者は特別な特権を必要とせずに、またはネットワークで認証されることなく、すべてのアカウントをロックできる可能性があります。If the number of attempts is greater than the account lockout threshold, the attacker might be able to lock every account without needing any special privileges or being authenticated in the network.

注意

オフライン パスワード攻撃は、このポリシー設定では対抗されません。Offline password attacks are not countered by this policy setting.

対抗策Countermeasure

この値が構成されている場合と構成されていない場合に脆弱性が存在する可能性があるため、2 つの異なる対策が定義されます。Because vulnerabilities can exist when this value is configured and when it is not configured, two distinct countermeasures are defined. 組織は、特定された脅威と軽減するリスクに基づいて、2 つの選択肢を重み付けする必要があります。Organizations should weigh the choice between the two, based on their identified threats and the risks that they want to mitigate. 2 つの対策オプションは次のとおりです。The two countermeasure options are:

  • [アカウント のロックアウトのしきい値] 設定を 0 に構成します。Configure the Account lockout threshold setting to 0. この構成により、アカウントがロックされなかからず、意図的にアカウントをロックしようとする DoS 攻撃が防止されます。This configuration ensures that accounts will not be locked, and it will prevent a DoS attack that intentionally attempts to lock accounts. また、この構成は、ユーザーが誤って自分のアカウントからロックアウトできないので、ヘルプ デスクの呼び出しを減らすのに役立ちます。This configuration also helps reduce Help Desk calls because users cannot accidentally lock themselves out of their accounts. ブルート フォース攻撃を防止しないので、次の両方の条件が明示的に満たされている場合にのみ、この構成を選択する必要があります。Because it does not prevent a brute force attack, this configuration should be chosen only if both of the following criteria are explicitly met:

    • パスワード ポリシー設定では、すべてのユーザーに 8 文字以上の複雑なパスワードが必要です。The password policy setting requires all users to have complex passwords of eight or more characters.
    • 環境で一連のサインインが失敗した場合に管理者に警告する堅牢な監査メカニズムが実施されています。A robust audit mechanism is in place to alert administrators when a series of failed sign-ins occurs in the environment.
  • アカウントロック アウト しきい値ポリシー設定を十分に高い値に構成して、アカウントがロックされる前にユーザーが誤ってパスワードを誤って入力する機能をユーザーに提供しますが、ブルート フォース パスワード攻撃によってアカウントがロックされます。Configure the Account lockout threshold policy setting to a sufficiently high value to provide users with the ability to accidentally mistype their password several times before the account is locked, but ensure that a brute force password attack still locks the account.

    Windows のセキュリティ ベースラインでは、10 回の無効なサインイン試行のしきい値を構成することをお勧めします。これは、アカウントの誤ったロックアウトを防ぎ、ヘルプ デスクの呼び出しの数を減らしますが、DoS 攻撃を防止しません。Windows security baselines recommend configuring a threshold of 10 invalid sign-in attempts, which prevents accidental account lockouts and reduces the number of Help Desk calls, but does not prevent a DoS attack.

    この種類のポリシーを使用するには、ロックされたアカウントのロックを解除するプロセスを伴う必要があります。Using this type of policy must be accompanied by a process to unlock locked accounts. システムへの攻撃による大規模なロックアウトを軽減するために必要な場合はいつでも、このポリシーを実装できる必要があります。It must be possible to implement this policy whenever it is needed to help mitigate massive lockouts caused by an attack on your systems.

潜在的な影響Potential impact

このポリシー設定が有効になっている場合、ロックされたアカウントは、管理者によってリセットされるまで、またはアカウントのロックアウト期間が経過するまで使用できません。If this policy setting is enabled, a locked account is not usable until it is reset by an administrator or until the account lockout duration expires. この設定を有効にすると、多くの追加のヘルプ デスク呼び出しが生成される可能性があります。Enabling this setting will likely generate a number of additional Help Desk calls.

アカウントロックアウトしきい**** 値ポリシー設定を 0 に構成すると、強力な監査メカニズムが設定されていない場合、悪意のあるユーザーがブルート フォース パスワード攻撃でパスワードを検出しようとすると検出されない可能性があります。If you configure the Account lockout threshold policy setting to 0, there is a possibility that a malicious user's attempt to discover passwords with a brute force password attack might go undetected if a robust audit mechanism is not in place.

このポリシー設定を 0 より大きい数値に構成すると、攻撃者はアカウント名が既知のアカウントを簡単にロックできます。If you configure this policy setting to a number greater than 0, an attacker can easily lock any accounts for which the account name is known. この状況は、アカウントをロックするためにネットワークへのアクセス以外の資格情報が必要ない点を考慮すると、特に危険です。This situation is especially dangerous considering that no credentials other than access to the network are necessary to lock the accounts.

アカウント ロックアウトのポリシーAccount Lockout Policy