ドメインパスワードポリシーを構成する方法
この記事では、ActiveDirectoryドメインパスワードポリシーを構成する方法を学習します。
次のことも学習します。
- デフォルトのドメインパスワードポリシーとは
- パスワードポリシーの設定を理解する
- パスワードポリシーを最適にプラクティス
- ドメインパスワードポリシーの変更
デフォルトのドメインパスワードポリシーとは
デフォルトでは、ActiveDirectoryはデフォルトのドメインで構成されていますパスワードポリシー。このポリシーは、パスワードの長さ、経過時間など、ActiveDirectoryユーザーアカウントのパスワード要件を定義します。
このパスワードポリシーはグループポリシーによって構成され、ドメインのルートにリンクされています。パスワードポリシーを表示するには、次の手順に従います。
1。グループポリシー管理コンソールを開きます
2。ドメイン、ドメインを展開し、ポリシーオブジェクトをグループ化します
3。デフォルトのドメインポリシーを右クリックし、[編集]をクリックします
4。次に、[コンピューターの構成]、[ポリシー]、[Windowsの設定]、[セキュリティの設定]、[アカウントポリシー]、[パスワードポリシー]
に移動します。このコマンドを使用したPowershellのデフォルトのパスワードポリシー。
Get-ADDefaultDomainPasswordPolicy
重要:デフォルトのパスワードポリシーは、ドメイン。ユーザーのグループに異なるパスワードポリシーを適用する場合は、きめ細かいパスワードポリシーを使用することをお勧めします。新しいGPOを作成してOUにリンクしないでください。これはお勧めしません。
推奨ツール:ActiveDirectoryクリーンアップツール
非アクティブなユーザーとコンピューターを見つけ、ADを安全でクリーンな状態に保ちます。
ActiveDirectoryクリーンアップツールのコピーをダウンロードします
パスワードポリシー設定を理解する
これで、ドメインのデフォルトのパスワードポリシーを表示する方法がわかりました。設定で。
パスワード履歴の適用:
この設定は、古いパスワードを再利用する前に使用する必要のある一意のパスワードの数を定義します。たとえば、現在のパスワードが「Th334goore0!」の場合その後、パスワードを24回(またはポリシーが設定されている番号に)変更するまで、そのパスワードを再利用できません。この設定は、ユーザーが同じパスワードを再利用し続けないようにするために役立ちます。デフォルト設定は24です。
パスワードの最大有効期間:
この設定は、パスワードを変更する必要があるまでに使用できる日数を定義します。デフォルト設定は42日です
パスワードの最小値年齢
この設定は、パスワードを変更する前に使用する必要がある期間を決定します。デフォルト設定は1日です
パスワードの最小長
この設定は決定しますパスワードに必要な文字数。デフォルトは7です。これは、パスワードに7文字以上が含まれている必要があることを意味します。
パスワードは複雑さの要件を満たしている必要があります
有効な場合、パスワードはこれらの要件を満たしている必要があります:
- ユーザーのアカウント名または2文字を超えるユーザーのフルネームの一部を含まない
- 長さが6文字以上であること
- コンタ次の4つのカテゴリのうち3つからの文字で:
- 英語の大文字(AからZ)
- 英語の小文字(aからz)
- ベース10桁( 0から9)
- アルファベット以外の文字(たとえば、!、$、#、%)
これは次の方法で有効になります。デフォルト
可逆暗号化を使用してパスワードを保存する
この設定は、オペレーティングシステムが可逆暗号化を使用してパスワードを保存するかどうかを決定します。これは基本的に、最も重要なバージョンのパスワードを保存することと同じです。非常に具体的なアプリケーション要件がない限り、このポリシーを有効に設定しないでください。
パスワードポリシーのベストプラクティス
これについてはさまざまな意見があるため、2つのソースを参照します。また、組織のパスワードポリシーは、PCI / SOX / CJISなどのコンプライアンス/規制要件によって推進される場合があります。
Microsoftが推奨するパスワード設定
これらの設定は、MicrosoftのSecurity CompianceToolkitからのものです。このツールキットは、Microsoftが推奨するGPO設定を提供します。
- パスワード履歴の適用:24
- パスワードの最大有効期間:未設定
- パスワードの最小有効期間:未設定
- パスワードの最小期間長さ:14
- パスワードは複雑さを満たす必要があります:有効
- 可逆暗号化を使用してパスワードを保存する:無効
注:Microsoftはパスワードの有効期限ポリシーを削除しました1903年のセキュリティベースラインから始まります。これについて詳しくは、こちらをご覧ください
これは良い決断だと思いますが、一部の組織では、特定のガイド(PCI、SOX、CJISなど)に従う必要があります。うまくいけば、それらはすぐに更新されます。
CISベンチマークのパスワード設定
これらの設定は、CISベンチマークからのものです。インターネットセキュリティセンターは、セキュリティガイドラインとベンチマークを開発する非営利団体です。
- パスワード履歴の適用:24
- パスワードの最大有効期間:60日以下
- パスワードの最小有効期間:1以上
- パスワードの最小長:14
- パスワードは複雑さを満たす必要があります:有効
- 可逆暗号化を使用してパスワードを保存する:無効
デフォルトのドメインパスワードポリシーを変更する
パスワードポリシーを変更するには、デフォルトのドメインポリシーを変更する必要があります。
1。グループポリシー管理コンソールを開きます
2。ドメイン、ドメインを展開し、ポリシーオブジェクトをグループ化します
3。デフォルトのドメインポリシーを右クリックし、[編集]をクリックします
4。次に、[コンピューターの構成]、[ポリシー]、[Windowsの設定]、[セキュリティの設定]、[アカウントポリシー]、[パスワードポリシー]
5に移動します。次に、編集する設定の1つをダブルクリックします。たとえば、パスワードの最小の長さを2倍にします。
この設定を7文字から14文字に変更して、[適用]をクリックします。
他のパスワードポリシー設定をダブルクリックして変更します。
この記事を楽しんでいただけたでしょうか。
質問がありますか?以下のコメントで教えてください。
推奨ツール:SolarWinds Server &アプリケーションモニター
このユーティリティは、ActiveDirectoryおよびDNS & DHCPなどの他の重要なサービスを監視するために設計されました。ドメインコントローラーの問題をすばやく特定し、レプリケーションの失敗を防ぎ、ログオン試行の失敗を追跡します。
SAMで最も気に入っているのは、ダッシュボードとアラート機能が使いやすいことです。また、仮想マシンとストレージを監視する機能もあります。
ここから無料試用版をダウンロード