Active Directoryパスワードポリシーを設定および管理する方法

世界中でサイバー攻撃が爆発する中で、組織が堅牢なパスワードポリシーを持つことがこれまで以上に ハッカーは、多くの場合、正当なユーザーまたは管理者の資格情報を介して企業ネットワークにアクセスし、セキュリテ この記事では、強力で効果的なActive Directoryパスワードポリシーを作成および維持する方法について説明します。

攻撃者が企業のパスワードを侵害する方法

ハッカーは、次のようなさまざまな手法を使用して企業のパスワードを侵害します:

  • ブルートフォース攻撃-ハッカーは、彼らが正しいものにヒットするまで、様々な潜在的なパスワードの組み合わせを入力
  • 辞書攻撃—これは、可能なパスワードとして辞書で見つかった単語をしようとすることを含むブルートフォース攻撃の特定の形式です。
  • パスワード噴霧攻撃—ハッカーは、既知のユーザー名または他のアカウント識別子を入力し、それらが動作するかどうかを確認するために、複数の共通のパスワー
  • Credential stuffing攻撃—ハッカーは、自動化されたツールを使用して、さまざまな企業のログインポータルに対して資格情報のリストを入力します。
  • Spidering—悪意のあるユーザーは、ハッキング対象に関するできるだけ多くの情報を収集し、そのデータを使用して作成されたパスワードの組み合わせを試してみ

Active Directoryパスワードポリシーの表示と編集方法

これらの攻撃から防御するには、組織に強力なActive Directoryパスワードポリシーが必要です。 パスワードポリシーは、最小長、複雑さの詳細(特殊文字が必要かどうかなど)、パスワードを変更する必要があるまでのパスワードの長さなど、パスワード作成に関

既定のドメインポリシーは、ドメイン内のすべてのオブジェクトに影響を与える設定を含むグループポリシーオブジェクト(GPO)です。 ドメインパスワードポリシーを表示および構成するには、管理者はグループポリシー管理コンソール(GPMC)を使用できます。 [Domains]フォルダーを展開し、ポリシーにアクセスするドメインを選択し、[Group Policy Objects]を選択します。 既定のドメインポリシーフォルダーを右クリックし、[編集]を選択します。 コンピュータの構成->ポリシー->Windows設定->セキュリティ設定->アカウントポリシー->パスワードポリシーに移動します。

または、次のPowerShellコマンドを実行してドメインパスワードポリシーにアクセスできます:

Get-ADDefaultDomainPasswordPolicy

既定のドメインパスワードポリシーに加えた変更は、そのドメイン内のすべてのアカウントに適用されます。 Windows ServerのActive Directory管理センター(ADAC)を使用して、きめ細かいパスワードポリシーを作成および管理できます。

ADパスワードポリシー設定について

以下に、6つのパスワードポリシー設定とそのデフォルト値を示します:

  • パスワード履歴の適用-デフォルトは24です。 この設定では、古いパスワードを再利用する前にユーザーが作成する必要のある一意のパスワードの数を指定します。 デフォルト値を維持することは、ユーザーがパスワードを使用して危険にさらされるリスクを軽減するために推奨されます。
  • パスワードの最大有効期間—デフォルトは42です。 この設定は、システムがユーザーにパスワードの変更を強制するまでのパスワードの存在期間を設定します。 ユーザーは通常、パスワードの有効期限が終了するとポップアップ警告が表示されます。 PowerShellを使用してこの設定を確認するには、コマンドnet user USERNAME/domainを実行します。 頻繁なパスワード変更を強制すると、ユーザーがパスワードを書き留めたり、再利用するstem単語に月を追加するなどの慣行を採用したりする可能性があり、実際にはセキュリティリスクが高まることに注意してください。 “Maximum password age”を0に設定すると、パスワードの有効期限が切れることはありません(これは一般的には推奨されません)。
  • パスワードの最小有効期間—デフォルトは1日です。 この設定では、ユーザーがパスワードの変更を許可するまでにパスワードが存在する必要がある時間を指定します。 最低年齢を設定すると、ユーザーは”パスワード履歴の強制”設定を回避し、お気に入りのパスワードをすぐに再利用するためにパスワードを繰り返し再設定
  • パスワードの最小長—デフォルトは7です。 この設定は、パスワードが持つことができる文字数の最小値を設定します。 短いパスワードは、ハッカーがクラックするために簡単ですが、本当に長いパスワードを必要とすると、誤った入力からロックアウトし、ユーザーが自分のパスワー
  • 複雑さの要件—デフォルトは有効です。 この設定では、ユーザーがパスワード文字列に含める必要がある文字の種類を詳細に説明します。 ベストプラクティスでは、パスワードの最小長を少なくとも8に設定してこの設定を有効にすることをお勧めします。 複雑さの要件は、通常、パスワードに次の組み合わせを含める必要があります:
    • 大文字または小文字(A~Zおよびa~z)
    • 数字(0~9)
    • alphanumeric、#、%などの英数字以外の文字
    • ユーザーのアカウント名または表示名から二つ以下の記号
  • 可逆暗号化を使用してパスワードを保存する—デフォルトは無効です。 この設定では、ユーザーが認証用のパスワードを入力する必要があるアプリがサポートされます。 この設定を有効にすると、攻撃者がこの暗号化を破る方法に精通して、アカウントを侵害した後にネットワークにログインできるようになるため、管理者はこの設定を無効にしたままにしておく必要があります。 例外として、インターネット認証サービス(IAS)またはチャレンジハンドシェイク認証プロトコル(CHAP)を使用する場合は、この設定を有効にできます。

きめの細かいポリシーとその構成方法

古いバージョンのADでは、各ドメインに対してパスワードポリシーを作成することができました。 ADのそれ以降のバージョンでは、fine-grained password policies(FGPP)が導入され、管理者は複数のパスワードポリシーを作成して、ビジネスニーズをよりよく満たすことができます。 たとえば、管理者アカウントに通常のユーザーアカウントよりも複雑なパスワードを使用するように要求する場合があります。 必要なパスワードポリシーにマップされるように、組織構造を慎重に定義することが重要です。

GPO内で既定のドメインパスワードポリシーを定義すると、FGPPsはパスワード設定オブジェクト(Pso)で設定されます。 それらを設定するには、ADACを開き、ドメインをクリックし、システムフォルダに移動してから、パスワード設定コンテナをクリックします。

NIST SP800-63パスワードガイドライン

National Institute of Standards(NIST)は、デジタルidの管理に関する制御と要件の発行を担当する連邦機関です。 特別な出版物800-63Bはパスワードのための標準をカバーする。 2017年に発行され、2019年に更新されたSP800-63Bの改訂3が現在の標準です。

これらのガイドラインは、堅牢なパスワードセキュリティインフラストラクチャを構築するための基盤を組織に提供します。 NISTの推奨事項には、次のものがあります:

  • ユーザーが生成したパスワードの長さは8文字以上である必要があります(マシンが生成したパスワードの場合は6文字)。
  • ユーザーは最大64文字のパスワードを作成できます。
  • ユーザーがパスワードに任意のASCII/Unicode文字を使用できるようにします。
  • 連続または繰り返しの文字を持つパスワードを使用できません。
  • パスワードを頻繁に変更する必要はありません。 長年にわたり、多くの組織では、ユーザーがパスワードを頻繁に変更する必要がありましたが、このポリシーは、ユーザーが基本パスワードを徐々に変更したり、パスワー したがって、最新のNIST800-63B標準では、パスワードの有効期限ポリシーを慎重に使用することが求められています。 より最近の研究では、より良い選択肢には、禁止されたパスワードリストの使用、より長いパスフレーズの使用、追加のセキュリティのための多要素認証の

ADパスワードポリシーのベストプラクティス

より一般的には、管理者は次のことを確認する必要があります:

  • パスワードの最小長を8文字に設定します。
  • パスワードの複雑さの要件を確立します。
  • ユーザーの最後の10個のパスワードを振り返るパスワード履歴ポリシーを適用します。
  • パスワードの最低年齢を3日にします。
  • ローカル管理者パスワードを180日ごとにリセットします(そのために無料のNetwrix一括パスワードリセットツールの使用を検討してください)。
  • メンテナンス中にデバイスアカウントパスワードを年に一度リセットします。
  • ドメイン管理者アカウントのパスワードは、少なくとも15文字の長さにする必要があります。
  • パスワードが期限切れに設定されていることをユーザーに知らせる電子メール通知を設定します(無料のNetwrix Password Expiration Notifierツールが役立ちます)。
  • 既定のドメインポリシー設定を編集するのではなく、特定の組織単位とリンクするための詳細なパスワードポリシーの作成を検討してください。
  • 禁止されたパスワードリストを使用します。
  • 複数のパスワードを保存するには、パスワード管理ツールを使用します。

詳細については、ADの強力なセキュリティのためのパスワードポリシーのベストプラクティスをお読みください。

ユーザー教育は、パスワードポリシーと同じくらい重要です。 次の行動ルールについてユーザーに教育します:

  • パスワードを書き留めてはいけません。 代わりに、簡単に思い出すことができる強力なパスワードやパスフレーズを選択し、パスワード管理ツールを使用します。
  • 誰もが見ているときにパスワードを入力しないでください。
  • HTTPS://アドレスはHTTP://Urlよりも安全であることを理解しています。
  • 機密情報へのアクセスを提供する複数のwebサイトに同じパスワードを使用しないでください。

FAQ

Active Directoryパスワードポリシーを検索して編集するにはどうすればよいですか?

コンピュータの構成->ポリシー->Windows設定->セキュリティ設定->アカウントポリシー->パスワードポリシーに移動するか、管理コンソールでPowerShellコマンドGet-A D D E Faultdomainpasswordpolicyを使用して、特定のドメ

パスワードはActive Directoryで暗号化されていますか?

はい。 ユーザーが作成したパスワードは、それらを暗号化するハッシュアルゴリズムを通過します。

Active Directoryパスワードの複雑さとは何ですか?

複雑さの要件は、パスワードに含めることができない、または含めることができない文字を制御します。 たとえば、ユーザーが自分のユーザー名をパスワードとして使用できないようにしたり、パスワードに少なくとも1つの数字と1つの小文字を含める必要があ

Windows Serverパスワードポリシーとは何ですか?

Windows Serverパスワードポリシーは、Windowsサーバーにアクセスするためのパスワードを制御します。

Windows Serverでパスワードポリシーを検索、編集、または無効にするにはどうすればよいですか?

グループポリシー管理コンソールを使用してGPOを見つけ、編集をクリックします。

良いパスワードポリシーとは何ですか?

ベストプラクティスには、次のものがあります:

  • ユーザーが古いものを再利用する前に、少なくとも10の新しいパスワードを作成します。
  • 最大パスワード有効期間は42日です。
  • 最低パスワードの有効期限は3日です。
  • ユーザーが8文字以上のパスワードを作成するようにします。
  • “Complexity requirements”オプションを有効にします。
  • 可逆暗号化を無効にします。
JeffはNetwrixのGlobal Solutions Engineeringの元ディレクターです。 彼は長年のNetwrixブロガー、スピーカー、およびプレゼンターです。 Netwrixのブログでは、Jeffは、システム管理の経験を劇的に向上させることができるライフハック、ヒントやトリックを共有しています。

コメントを残す

メールアドレスが公開されることはありません。