アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する

適用対象

  • Windows 10

[アカウント] のベスト プラクティス、場所、値、セキュリティに関**** する考慮事項について説明します。空のパスワードのローカル アカウントの使用をコンソール ログオンのみセキュリティ ポリシー設定に制限します。

リファレンス

[ アカウント: 空のパスワードのローカル アカウントの使用をコンソール ログオン専用に制限する] ポリシー設定は、空のパスワードを持つローカル アカウントに対してリモート デスクトップ サービス、Telnet、およびファイル転送プロトコル (FTP) などのネットワーク サービスによるリモート 対話型ログオンを許可するかどうかを決定します。 このポリシー設定が有効になっている場合、リモート クライアントからの対話型ログオンまたはネットワーク ログオンを実行するために、ローカル アカウントに非フォーク パスワードが必要です。

このポリシー設定は、コンソールで物理的に実行される対話型ログオンや、ドメイン アカウントを使用するログオンには影響を与えかねない。 リモート 対話型ログオンを使用する Microsoft 以外のアプリケーションでは、このポリシー設定をバイパスできます。 空白のパスワードは、コンピューターのセキュリティに対する重大な脅威であり、企業ポリシーと適切な技術的対策の両方を通じて禁止する必要があります。 それにもかかわらず、新しいアカウントを作成する機能を持つユーザーが、ドメイン ベースのパスワード ポリシー設定をバイパスしたアカウントを作成する場合、そのアカウントには空白のパスワードが含められます。 たとえば、ユーザーはスタンドアロン システムを構築し、空のパスワードで 1 つ以上のアカウントを作成してから、コンピューターをドメインに参加できます。 空白のパスワードを持つローカル アカウントは引き続き機能します。 アカウント名を知っているユーザーは、空のパスワードを持つアカウントを使用してシステムにログオンできます。

物理的に安全な場所にはないデバイスでは、すべてのローカル ユーザー アカウントに強力なパスワード ポリシーを常に適用する必要があります。 それ以外の場合、デバイスに物理的にアクセスできるユーザーは、パスワードのないユーザー アカウントを使用してログオンできます。 これは、ポータブル デバイスにとって特に重要です。

このセキュリティ ポリシーを Everyone グループに適用すると、誰もリモート デスクトップ サービス経由でログオンできます。

  • 有効
  • 無効
  • 未定義

ベスト プラクティス

  • [アカウント: 空のパスワードのローカル アカウントの使用をコンソール ログオンにのみ制限する] を [有効] に設定 する 必要があります。

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Alone サーバーの既定の設定 有効
DC 有効な既定の設定 有効
メンバー サーバーの有効な既定の設定 有効
クライアント コンピューターの有効な既定設定 有効

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、デバイスをローカルに保存したり、グループ ポリシーを通じて配布したりすると、デバイスを再起動せずに有効になります。

ポリシーの競合に関する考慮事項

GPO を介して配布されるポリシーは、ドメインに参加しているコンピューターでローカルに構成されたポリシー設定よりも優先されます。 ドメイン コントローラーで、ADSI Edit または dsquery コマンドを使用して、有効な最小パスワード長を決定します。

グループ ポリシー

このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用してグループ ポリシー オブジェクト (GPO) を介して配布するように構成できます。 このポリシーが分散 GPO に含まれている場合は、ローカル セキュリティ ポリシー スナップインを使用して、ローカル デバイスでこのポリシーを構成できます。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

空白のパスワードは、コンピューターのセキュリティに対する重大な脅威であり、組織のポリシーと適切な技術的対策を通じて禁止する必要があります。 Windows Server 2003 より、Active Directory ドメインの既定の設定では、少なくとも 7 文字の複雑なパスワードと、Windows Server 2008 から始まる 8 文字の複雑なパスワードが必要です。 ただし、新しいアカウントを作成できるユーザーがドメイン ベースのパスワード ポリシーをバイパスする場合は、空白のパスワードを使用してアカウントを作成できます。 たとえば、ユーザーはスタンドアロン コンピューターを構築し、空のパスワードで 1 つ以上のアカウントを作成し、そのコンピューターをドメインに参加できます。 空白のパスワードを持つローカル アカウントは引き続き機能します。 これらの保護されていないアカウントの名前を知っているユーザーは、そのアカウントを使用してログオンできます。

対抗策

[アカウント を有効にする: 空のパスワードのローカル アカウントの使用をコンソール ログオンのみにする] 設定を制限 します。

潜在的な影響

なし。 これは既定の構成です。

セキュリティ オプション