対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)

適用対象

  • Windows 10

対話型ログオンのベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。キャッシュする以前のログオンの数 (ドメイン コントローラーが使用できない場合 ) セキュリティ ポリシー設定。

リファレンス

対話型ログオン : キャッシュする以前のログオン数 (ドメイン コントローラーが使用できない場合) ポリシー設定は、キャッシュされたアカウント情報を使用してユーザーが Windows ドメインにログオンできるかどうかを決定します。 ドメイン アカウントのログオン情報をローカルにキャッシュして、以降のログオン時にドメイン コントローラーに連絡できない場合でも、ユーザーはログオンできます。 このポリシー設定は、ログオン情報がローカルにキャッシュされる一意のユーザーの数を決定します。

ドメイン コントローラーが使用できなくなった場合に、ユーザーのログオン情報がキャッシュされている場合、次のメッセージが表示されます。

ドメインのドメイン コントローラーに接続できない。 キャッシュされたアカウント情報を使用してログオンしています。 前回ログオンした後のプロファイルの変更は利用できない場合があります。

ドメイン コントローラーが使用できなくなった場合に、ユーザーのログオン情報がキャッシュされていない場合、次のメッセージが表示されます。

ドメインドメイン名が使用できないので、システムは ログオンできません

このポリシー設定の値は、サーバーがローカルにキャッシュするログオン情報を持つユーザーの数を示します。 値が 10 の場合、サーバーは 10 人のユーザーのログオン情報をキャッシュします。 11 番目のユーザーがデバイスにログオンすると、サーバーは最も古いキャッシュされたログオン セッションを上書きします。

サーバー コンソールにアクセスするユーザーは、そのサーバーにログオン資格情報をキャッシュします。 サーバーのファイル システムにアクセスできる悪意のあるユーザーは、このキャッシュされた情報を見つけて、ブルート フォース攻撃を使用してユーザー パスワードを特定できます。 Windows、情報を暗号化し、キャッシュされた資格情報をシステムのレジストリに保持することで、この種の攻撃を軽減できます。これは、多数の物理的な場所に広がっています。

注意

キャッシュされたアカウント情報は期限切れになることはありませんが、前述のように上書きされる可能性があります。

  • 0 ~ 50 のユーザー定義番号
  • 未定義

ベスト プラクティス

セキュリティ基準Windows、この設定の構成はお勧めしません。

Location

コンピューターの構成\Windows 設定\セキュリティ 設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の既定値と有効な既定値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。

サーバーの種類または GPO 既定値
既定のドメイン ポリシー 未定義
既定のドメイン コントローラー ポリシー 未定義
Stand-Alone サーバーの既定の設定 10 ログオン
DC 有効な既定の設定 効果なし
メンバー サーバーの有効な既定の設定 10 ログオン
クライアント コンピューターの有効な既定設定 10 ログオン

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能とツールについて説明します。

再起動の必要性

なし。 このポリシーに対する変更は、ローカルに保存された場合やグループ ポリシーを通じて配布された場合にコンピューターを再起動せずに有効になります。

ポリシーの競合に関する考慮事項

なし

グループ ポリシー

このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用してグループ ポリシー オブジェクト (GPO) を介して配布するように構成できます。 このポリシーが分散 GPO に含まれている場合は、ローカル セキュリティ ポリシー スナップインを使用して、ローカル コンピューターでこのポリシーを構成できます。

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能や構成をどのように悪用するかと、対抗策の実装方法、対抗策を実施した結果として生じる可能性のある悪影響について説明します。

脆弱性

このポリシー設定に割り当てられている番号は、ログオン情報がサーバーによってローカルにキャッシュされるユーザーの数を示します。 番号が 10 に設定されている場合、サーバーは 10 人のユーザーのログオン情報をキャッシュします。 11 番目のユーザーがデバイスにログオンすると、サーバーは最も古いキャッシュされたログオン セッションを上書きします。

サーバー コンソールにアクセスするユーザーは、そのサーバーにログオン資格情報をキャッシュします。 サーバーのファイル システムにアクセスできる攻撃者は、このキャッシュされた情報を見つけ、ブルート フォース攻撃を使用してユーザー パスワードの特定を試みる可能性があります。

この種類の攻撃を軽減するために、Windowsを暗号化し、物理的な場所をあいまいにします。

対抗策

[対話型 ログオン: キャッシュ する以前のログオン数] (ドメイン コントローラーが使用できない場合) の設定を 0 に設定すると、ログオン情報のローカル キャッシュが無効になります。 その他の対策としては、強力なパスワード ポリシーの適用と、コンピューターの物理的に安全な場所が含まれます。

潜在的な影響

認証に使用できるドメイン コントローラーがない場合、ユーザーはデバイスにログオンできません。 組織では、特にモバイル ユーザーの場合は、エンド ユーザー コンピューターに対してこの値を 2 に構成できます。 構成値 2 は、IT 部門のメンバーが最近デバイスにログオンしてシステムメンテナンスを実行した場合でも、ユーザーのログオン情報がまだキャッシュに残っているという意味です。 このメソッドを使用すると、ユーザーが組織のネットワークに接続されていないときにコンピューターにログオンできます。

関連トピック