パスワードの有効期間
適用対象
- Windows 10
[最大パスワードの保存時間] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する 考慮事項について説明 します。
リファレンス
[ 最大パスワードの保存 期間] ポリシー設定は、システムがユーザーにパスワードの変更を要求する前にパスワードを使用できる期間 (日数) を決定します。 1 ~ 999 の日数が経過した後にパスワードが期限切れになるか、または日数を 0 に設定して、パスワードの有効期限が切れることはありません。 [ パスワードの最大使用日数 ] が 1 日から 999 日の間の場合、最小パスワードの使用日数はパスワードの最大使用時間より小さい必要があります。 [ パスワードの最大保存期間] が 0 に設定されている 場合、最小 パスワードの期間は 0 ~ 998 日の任意の値になります。
注: [ 最大パスワードの有効期間] を -1 に設定すると、有効期限が切れることはありません。 他の負の数値に設定すると、定義されていないに設定する のと同じです。
値
- ユーザーが指定した 0 ~ 999 の日数
- 未定義
ベスト プラクティス
[ パスワードの最大使用期間] を、環境に応じて 30 日から 90 日の間の値に設定します。 これにより、攻撃者はユーザーのパスワードを侵害し、ネットワーク リソースにアクセスできる時間が限られています。
注意
Microsoft が推奨するセキュリティ ベースラインには、最新の軽減策よりも効果的ではなからず、パスワード有効期限ポリシーは含めされていません。 ただし、Azure AD パスワード保護、多要素認証、またはパスワード推測攻撃のその他の最新の軽減策を実装しなかった企業は、このポリシーを有効のままにする必要があります。
場所
コンピューターの構成\Windows の設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー
既定値
次の表に、実際のポリシー値と有効な既定のポリシー値を示します。 既定値は、このポリシーのプロパティ ページにも表示されます。
| サーバーの種類またはグループ ポリシー オブジェクト (GPO) | 既定値 |
|---|---|
| 既定のドメイン ポリシー | 42 日間 |
| 既定のドメイン コントローラー ポリシー | 未定義 |
| スタンドアロン サーバーの既定の設定 | 42 日間 |
| ドメイン コントローラーの有効な既定の設定 | 42 日間 |
| メンバー サーバーの有効な既定の設定 | 42 日間 |
| クライアント コンピューターでの GPO の有効な既定の設定 | 42 日間 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能、ツール、およびガイダンスについて説明します。
再起動の必要性
なし。 このポリシーに対する変更は、ローカルに保存された場合やグループ ポリシーを通じて配布された場合にコンピューターを再起動せずに有効になります。
セキュリティに関する考慮事項
このセクションでは、攻撃者が機能または構成を悪用する方法、対策を実装する方法、および実装による悪影響の可能性について説明します。
脆弱性
パスワードが存在する時間が長いほど、攻撃者がユーザーに関する一般的な知識を取得したり、ユーザーがパスワードを共有したりすることで、ブルート フォース攻撃によって侵害される可能性が高くなります。 ユーザーがパスワード**** を変更する必要が生じないので、パスワードの最大有効期間ポリシー設定を 0 に構成すると、有効なユーザーがアクセスを承認されている限り、悪意のあるユーザーが侵害されたパスワードを使用できます。
考慮事項
パスワードの変更は長年のセキュリティプラクティスですが、現在の調査では、パスワードの有効期限が悪影響を及ぼすと強く示されています。 詳細については 、「Microsoft パスワード ガイダンス 」を参照してください。
組織の ビジネス要件に 適した値に、パスワードの最大使用時間ポリシー設定を構成します。 たとえば、多くの組織では、パスワードの短いライフスパンを必要とするコンプライアンスや保険の義務があります。 このような要件が存在する場合は、[最大 パスワード の保存時間] ポリシー設定を使用して、ビジネス要件を満たします。
潜在的な影響
[最大パスワード の保存時間] ポリシー 設定が低すぎる場合、ユーザーはパスワードを頻繁に変更する必要があります。 このような構成では、ユーザーがパスワードを安全な場所に保持したり、パスワードを紛失したりする可能性があるため、組織内のセキュリティを低下できます。 このポリシー設定の値が大きすぎると、潜在的な攻撃者がユーザー パスワードを検出したり、侵害されたアカウントを使用したりする時間が長くなり、組織内のセキュリティレベルが低下します。
関連トピック
フィードバック
フィードバックの送信と表示