Welcome to Our Website

パスワードは複雑さの要件を満たしている必要があります

Posted on by admin
  • 11/27/2017
  • 5分読み取り

適用対象:Windows Vista、Windows Server2008、Windows7、Windows8.1、Windows Server2008R2、Windows Server2012R2、Windows Server2012、Windows8

ITプロフェッショナル向けのこのセキュリティポリシーリファレンストピックでは、このポリシー設定のベストプラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。,

Reference

パスワードは複雑度要件を満たす必要がありますポリシー設定は、パスワードが強力なパスワードにとって重要と考えられる一連のガイドライン このポリシー設定を有効にするには、パスワードが次の要件を満たす必要があります。

  1. パスワードには、ユーザーのsamAccountName(アカウント名)値またはdisplayName全体(フルネーム値) 両方のチェックは大文字小文字を区別しません。

    samAccountNameは、それがパスワードの一部であるかどうかを判断するためにのみ、その全体がチェックされます。, SamAccountNameの長さが三文字未満の場合、このチェックはスキップされます。

    displayNameは、コンマ、ピリオド、ダッシュまたはハイフン、アンダースコア、スペース、ポンド記号、およびタブの区切り文字に対して解析されます。 これらの区切り文字のいずれかが見つかった場合、displayNameは分割され、解析されたすべてのセクション(トークン)がパスワードに含まれていないことが確認され 三文字未満のトークンは無視され、トークンの部分文字列はチェックされません。 たとえば、”Erin M.Hagens”という名前は、”Erin”、”M”、および”Hagens”の三つのトークンに分割されます。, 二つ目のトークンは一つの文字の長さしかないので、無視されます。 したがって、このユーザーは、パスワードの任意の部分文字列として”erin”または”hagens”を含むパスワードを持つことができませんでした。,

  2. ヨーロッパ言語の大文字(aからZ、発音区別符号、ギリシャ語およびキリル文字)

  3. ヨーロッパ言語の小文字(aからz、sharp-s、発音区別符号、ギリシャ語およびキリル文字)

  4. 基数10桁(0から9)

  5. 英数字以外の文字:~!@#$%^&*_-+=`|(){}:;”‘<>,.?,/

  6. アルファベット文字として分類されるが、大文字または小文字ではない任意のUnicode文字。 これには、アジア言語のUnicode文字が含まれます。

複雑さの要件は、パスワードが変更または作成されるときに適用されます。

Windows Serverのパスワードの複雑さの要件に含まれるルールは、Passfiltの一部です。dllを直接変更することはできません。

デフォルトのPassfiltを有効にします。,dllは、ユーザーがアルファベットで見つかった文字以外の文字を含むパスワードを持つことに慣れていない可能性があるため、ロックアウトアカウントの ただし、このポリシー設定は、すべてのユーザーがわずかな学習曲線で要件を遵守できるようにするために十分なリベラルです。

カスタムPassfiltに含めることができる追加の設定。dllは、上行以外の文字を使用しています。 上行文字は、SHIFTキーを押しながら1から10までの任意の数字を入力して入力する文字です。,

このポリシー設定は、このトピックの先頭にある”適用先”リストで指定されているWindowsのバージョンでサポートされています。

可能な値

  • Enabled

  • Disabled

  • 定義されていない

ベストプラクティス

パスワードを設定するには、複雑さの要件をEnabledに満たす必要があります。 このポリシー設定と最小パスワードの長さ8を組み合わせると、単一のパスワードに対して少なくとも218,340,105,584,896の異なる可能性があることが保証されます。 これはブルートフォース攻撃を困難にするが、それでも不可能ではない。,

ALTキーの文字の組み合わせを使用すると、パスワードの複雑さが大幅に向上します。 しかし、必要なすべてのユーザーが組織に付着するほどの厳しいパスワードを要求できる不幸になユーザーは、非常に忙しいヘルプデスク) すべての管理者パスワードの一部として0128から0159までの範囲のALT文字を使用するための要件を組織に実装することを検討してください。 (この範囲外のALT文字は、パスワードに複雑さを追加しない標準の英数字を表すことができます。,)

英数字のみを含むパスワードは、公開されているツールを使用することで容易に侵害されます。 これを防ぐために、パスワードが含まれる必要があ追加の文字を満たす複雑な条件です。

Location

GPO_name\Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

デフォルト値

次の表は、サポートされている最新バージョンのWindowsの実際のデフォルトポリシー値を示しています。 既定値は、ポリシーのプロパティページにも表示されます。,r>

デフォルトのドメインコントローラポリシー 有効 スタンドアロンサーバーのデフォルト設定 無効 ドメインコントローラの有効なデフォルト設定 有効 メンバーサーバーの有効なデフォルト設定 有効 クライアントコンピュータの有効なGPOのデフォルト設定 有効 クライアントコンピュータの有効なGPOのデフォルト設定 有効 disabled

オペレーティングシステムのバージョンの違い

このポリシー設定がサポートされているバージョンのwindows間で動作する方法に違いはありません。,

セキュリティに関する考慮事項

このセクションでは、攻撃者が機能またはその構成を悪用する方法、対策の実装方法、および対策の実

脆弱性

英数字のみを含むパスワードは、公開されているいくつかのツールを使用すると非常に簡単に検出できます。

対策

パスワードは複雑さ要件を満たす必要がありますポリシー設定を有効にし、ユーザーにパスワードにさまざまな文字を使用するようにアドバイス,

パスワードの最小長を8と組み合わせると、このポリシー設定により、単一のパスワードに対するさまざまな可能性の数が非常に多いため、ブルートフォース攻撃を成功させるのは難しい(不可能ではない)ことが保証されます。 (最小パスワード長ポリシー設定を大きくすると、攻撃の成功に必要な平均時間も増加します。,)

潜在的な影響

既定のパスワードの複雑さの構成が保持されている場合、ユーザーがアルファベット以外の文字を含むパスワードに慣れていない ただし、すべてのユーザーは、最小限の困難さで複雑さの要件を遵守できる必要があります。

組織により厳しいセキュリティ要件がある場合は、Passfiltのカスタムバージョンを作成できます。,任意の複雑なパスワード強度ルールの使用を可能にするdllファイル。 たとえば、カスタムパスワードフィルターでは、上行以外の記号を使用する必要があります。 (上の行の記号は、SHIFTキーを押したままにしてから、1と0の間の数字のいずれかを押す必要があるものです。)カスタムパスワードフィルターがも行って辞書で確認していることを検証すること提案したパスワードを含まない共通辞書の単語またはその断片.

ALTキーの文字の組み合わせを使用すると、パスワードの複雑さが大幅に向上します。, しかし、厳しいパスワードを要求できる結果追加のヘルプデスクです。 または、組織では、すべての管理者パスワードが0128-0159の範囲のALT文字を使用する要件を検討することもできます。 (この範囲外のALT文字は、パスワードに複雑さを追加しない標準の英数字を表すことができます。)

パスワードポリシーも参照してください

パスワードポリシー

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です