エクスポート (0) 印刷
すべて展開

Windows Server 2003 セキュリティ ガイド

第 3 章 :ドメイン ポリシー

最終更新日: 2006年8月14日


ダウンロード

Windows Server 2003 セキュリティ ガイドを入手する (英語情報)

トピック
概要
ドメイン ポリシー
アカウント ポリシー
パスワード ポリシー
アカウント ロックアウトのポリシー
Kerberos ポリシー
セキュリティ オプション
まとめ

概要

この章では、Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) インフラストラクチャにおいて、ドメイン環境の構成を使用してセキュリティを高める方法について説明します。

この章では、次のトピックについて説明します。

  • ドメイン レベルでのセキュリティ設定と対策。

  • 「第 1 章 Windows Server 2003 セキュリティ ガイドの概要」で定義しているレガシ クライアント (LC)、エンタープライズ クライアント (EC)、およびセキュリティ強化 - 機能制限 (SSLF) において Windows Server 2003 ドメインをセキュリティ保護する方法。

この情報は、ドメイン インフラストラクチャ内の LC 環境を SSLF 環境に引き上げる方法の基礎およびビジョンとなります。

Windows Server 2003 SP1 は、出荷時の既定値として、所定の高セキュリティ状態に設定されています。このガイドの使いやすさを考慮し、この章では、既定値から変更されている設定についてのみ説明します。すべての既定の設定については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド『脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定

ドメイン ポリシー

グループ ポリシーのセキュリティ設定は、組織においてさまざまなレベルで適用できます。「第 2 章 Windows Server 2003 のセキュリティ強化メカニズム」で説明しているベースライン環境では、ドメイン インフラストラクチャの次の 3 つの階層レベルで、グループ ポリシーを使用して設定を適用します。

  • ドメイン レベル

  • ベースライン レベル

  • 役割固有のレベル。このレベルの設定は、特定のサーバーの役割のセキュリティ要件を規定します。たとえば、インフラストラクチャ サーバーのセキュリティ要件は、Microsoft インターネット インフォメーション サービス (IIS) を実行するサーバーのセキュリティ要件とは異なります。

この章では、ドメイン レベルのポリシーに限定して詳しく説明します。規定されているドメイン セキュリティ設定のほとんどは、ユーザー アカウントとパスワードを対象としています。これらの設定や推奨事項を検討する際には、すべての設定がドメイン境界内のすべてのユーザーに適用されることに注意してください。

ドメイン ポリシーの概要

グループ ポリシーは非常に強力で、管理者はこれを使用して標準ネットワーク コンピュータ構成を作成できます。グルーブ ポリシー オブジェクト (GPO) が、あるゆる組織における構成管理ソリューションで重要な役割を果たしているのは、GPO を使用すると、ドメイン内またはドメインのサブセット内のすべてのコンピュータのセキュリティ設定を一度に変更できるからです。

以降より、Windows Server 2003 SP1 のセキュリティ強化に使用できるセキュリティ設定について詳しく説明します。また、その設定をまとめた表と、各設定のセキュリティ上の目的を達成する方法についての詳細な説明も示します。セキュリティ設定は、Windows Server 2003 セキュリティ構成エディタ (SCE) のユーザー インターフェイスに基づいて分類されています。

グループ ポリシーを使用して一度に適用できるセキュリティ変更の種類は次のとおりです。

  • ファイル システムのアクセス許可を変更する。

  • レジストリ オブジェクトのアクセス許可を変更する。

  • レジストリの設定を変更する。

  • ユーザー権利の割り当てを変更する。

  • システム サービスを構成する。

  • 監査ログとイベント ログを構成する。

  • アカウント ポリシーとパスワード ポリシーを設定する。

このガイドでは、ドメイン ルートに新しいグループ ポリシーを作成して、この章で説明しているドメイン全体に対するポリシーを適用することをお勧めします。このアプローチにより、新しいグループ ポリシーのテストまたはトラブルシューティングが簡単になります。その理由は、変更のロール バックが必要になった場合、新しいグループ ポリシーを無効にするだけで済むからです。ただし、Active Directory と連携するよう設計されたアプリケーションの一部は、組み込みの既定のドメイン ポリシーを変更します。このようなアプリケーションは、実装した新しいグループ ポリシーが、このガイドの推奨に従っているかどうかを認識しません。新しいエンタープライズ アプリケーションは、展開する前に十分テストしてください。問題が発生した場合、アプリケーションによって、アカウント ポリシーが変更されていないか、新しいユーザー アカウントが作成されていないか、ユーザー権利が変更されていないか、その他に既定のドメイン ポリシーまたはローカル コンピュータのポリシーが変更されていないかどうかを確認してください。

アカウント ポリシー

アカウント ポリシーは、パスワード ポリシー、アカウント ロックアウトのポリシー、および Kerberos ポリシーのセキュリティ設定で構成され、このガイドで定義している 3 つの環境ではドメイン ポリシーにのみ関連しています。パスワード ポリシーは、複雑さの要件と変更スケジュールの設定によって、環境のセキュリティを高めます。アカウント ロックアウトのポリシーは、ログオンに失敗したパスワードを追跡し、必要に応じてアカウントのロックアウトを実行します。Kerberos ポリシーは、ドメイン ユーザー アカウントに対して使用され、チケットの有効期限や適用など、Kerberos 認証プロトコル関連の設定を規定します。

パスワード ポリシー

複雑なパスワードを使用し、それを定期的に変更することで、パスワード攻撃の成功率を低減できます。パスワード ポリシーの設定では、パスワードの複雑さと有効期限を定義します。ここでは、個々のパスワード ポリシー設定、および各設定とこのガイドで定義している 3 つの環境、すなわちレガシ クライアント、エンタープライズ クライアント、およびセキュリティ強化 - 機能制限との関係について説明します。

パスワードの長さと複雑さの要件を厳しくしても、ユーザーや管理者が必ずしも強力なパスワードを使うようになるとは限りません。パスワード ポリシーを使用して、ユーザーに対して複雑さの要件に従うよう求めることはできますが、破られにくいパスワードをユーザーが作成することを確実にするためには、強力なセキュリティ ポリシーを追加することが必要です。たとえば、Breakfast! は、パスワードの複雑さの要件をすべて満たしていますが、破るのは難しくありません。

パスワードを作成したユーザーについてある程度の知識があれば、そのユーザーの好きな食べ物、車、映画などに基づくパスワードは簡単に推測できます。強力なパスワードを使用するようユーザーを教育するには、組織のセキュリティ プログラムの一環として、冷水器やコピー機の近くなど、多くのユーザーが目にする場所に、攻撃を受けやすいパスワードの例を掲示しておくことをお勧めします。次に挙げるような内容を含む強力なパスワード作成ガイドラインを組織として策定する必要があります。

  • 任意の言語の辞書の見出し語や、それに一般的または意図的なスペル ミスを適用した単語の使用は避ける。

  • 新しいパスワードとして、現在のパスワードの数字を変えただけのものは作成しない。

  • パスワードの先頭または末尾が数字であるパスワードの使用を避ける (先頭または末尾以外の位置に数字が使用されているパスワードより推測が容易)。

  • 他人が机の上を見ただけで簡単に推測できるパスワードを使用しない (ペットの名前、スポーツ チーム、家族など)。

  • テレビや雑誌などでよく目にする単語を使用しない。

  • キーボード入力時に両手を使用する必要があるパスワードを使用する。

  • すべてのパスワードに大文字、小文字、数字、記号を必ず使用する。

  • スペース文字および ALT キーを押すことによってのみ生成される文字を必ず使用する。

上記のガイドラインは、組織のすべてのサービス アカウント パスワードについても使用してください。

パスワード ポリシーの設定

次の表は、このガイドで定義されている 3 つの環境すべてに対するパスワード ポリシーの推奨設定を示しています。パスワード ポリシー設定は、グループ ポリシー オブジェクト エディタの次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワード ポリシー

各設定についての追加情報については、表の後のサブセクションで説明します。

表 3.1 パスワード ポリシーの推奨設定

設定レガシ クライアント環境エンタープライズ クライアント環境セキュリティ強化 - 機能制限環境

パスワードの履歴を記録する

24 のパスワードを記録

24 のパスワードを記録

24 のパスワードを記録

パスワードの有効期間

42 日

42 日

42 日

パスワードの変更禁止期間

1 日

1 日

1 日

パスワードの長さ

8 文字以上

8 文字以上

12 文字以上

パスワードは、複雑さの要件を満たす必要がある

有効

有効

有効

暗号化を元に戻せる状態でパスワードを保存する

無効

無効

無効

パスワードの履歴を記録する

このポリシー設定では、1 つのユーザー アカウントで履歴に記録するパスワード数を指定します。ユーザーが一度使用したパスワードを再度使用するには、ここで設定されている数の回数だけパスワードを変更する必要があります。記録できるパスワードの数は 0 ~ 24 です。

Windows Server 2003 SP1 の [パスワードの履歴を記録する] 設定の既定値は、上限の 24 です。古いパスワードが引き続き使用されることがないこと、一般的な脆弱性はパスワードの再利用に関連していること、およびこの設定値が小さいとユーザーは少数のパスワードを繰り返し再利用できることから、この値を 3 つの環境すべてについてお勧めします。また、レガシ クライアントを含む環境において、この推奨設定に起因する既知の問題はありません。

[パスワードの変更禁止期間] を設定して、パスワードをすぐには変更できないようにすることも検討してください。これら 2 つの設定を組み合わせることで、ユーザーが誤って、または意図的に、パスワードを再使用するのを防ぐことができます。

パスワードの有効期間

このポリシー設定で設定した有効期限が過ぎると、ネットワーク経由で侵入しようとした攻撃者は、同じパスワードではコンピュータにアクセスできなくなります。このポリシー設定の値の範囲は、1 ~ 999 日です。 [パスワードの有効期間] 設定には、その環境の必要に応じた有効期間を設定します。この設定の既定値は 42 日です。

パスワードを定期的に変更することで、パスワードを改ざんから保護できる可能性が高まります。ほとんどのパスワードは、攻撃者に十分な時間と高性能コンピュータがあれば解読されます。パスワードを頻繁に変更するほど、攻撃者がパスワード解読にかける時間が短くなります。ただし、パスワードの有効期間を短くすると、ヘルプ デスク サポートへの問い合わせ件数が増えるという問題が発生します。

Microsoft は、 [パスワードの有効期間] 設定を、このガイドで定義している 3 つ環境すべてについて、既定値の 42 日のままにすることをお勧めします。この指定により、パスワードは定期的に変更され、ユーザーがパスワードを忘れるほど頻繁に変更を求められることもありません。レガシ クライアント環境とエンタープライズ クライアント環境では、このポリシー設定の値を大きくして、セキュリティと利便性のニーズのバランスをとってもかまいません。

パスワードの変更禁止期間

このポリシー設定では、1 つのパスワードの最低使用日数を指定します。この日数が経過した後でなければ、ユーザーはパスワードを変更できません。 [パスワードの変更禁止期間] 設定の値の範囲は 0 ~ 999 日で、値 0 はパスワードの変更を即座に許可します。このポリシー設定の既定値は 1 日です。

[パスワードの変更禁止期間] の設定値は、 [パスワードの有効期間] より小さくする必要があります。ただし、 [パスワードの有効期間] が 0 (パスワードの有効期限なし) の場合はその限りではありません。 [パスワードの履歴を記録する] を有効にする場合は、 [パスワードの変更禁止期間] に 0 を超える値を設定してください。[パスワードの変更禁止期間] の指定がない場合、ユーザーはパスワードを次々に変更して、一度使用したパスワードをすぐに再使用できます。

Microsoft は、 [パスワードの変更禁止期間] を、このガイドで定義している 3 つ環境すべてについて、既定値の 1 日のままにすることをお勧めします。この設定のまま、 [パスワードの履歴を記録する] 設定を同程度の小さい値で使用すると、ユーザーが同じパスワードを繰り返し使用できるようになります。たとえば、 [パスワードの変更禁止期間] を 1 日に設定し、 [パスワードの履歴を記録する] でパスワード数を 2 に設定した場合、ユーザーは 2 日後にはまた同じパスワードを使用できてしまいます。一方、 [パスワードの変更禁止期間] を 1 日に設定しても、 [パスワードの履歴を記録する] を 24 に設定すると、同じパスワードを使うためには 24 日間毎日パスワードを変更しなければなりませんが、このような設定は実際にはあまりありません。

パスワードの長さ

このポリシー設定は、パスワードが指定された文字数以上になるよう強制します。通常、長いパスワード (8 文字以上) は短いパスワードよりも安全性が高くなります。 [パスワードの長さ] 設定を使用した場合は、ユーザーは空のパスワードを使用できず、指定の文字数以上のパスワードを作成する必要があります。この設定の既定値は 7 文字です。

[パスワードの長さ] 設定を 8 文字に指定することをお勧めします。この設定は、ある程度のセキュリティを確保するには十分な長さで、ユーザーが簡単に覚えられる程度の短さです。また、この設定は、一般的な辞書攻撃やブルート フォース (総当たり) 攻撃に対しても有効な防衛になります。

辞書攻撃は、単語リストを使用して、パスワードをトライ アンド エラー方式で取得しようとします。ブルート フォース攻撃は、可能性があるあらゆるパスワードまたは暗号化されたテキスト値を試します。ブルート フォース攻撃の成功率は、パスワードの長さ、使用文字セットの規模、および攻撃者が使用するコンピュータの性能によって異なります。

セキュリティ強化 - 機能制限の環境では、 [パスワードの長さ] 設定を 12 文字に指定することをお勧めします。

パスワードが 1 文字長くなると、その複雑さは飛躍的に増加します。たとえば、7 文字によるパスワードには 267、すなわち約 1 x 107 とおりの組み合わせがあります。7 文字のアルファベットで構成され、大文字と小文字が区別されるパスワードには、527 とおりの組み合わせがあります。句読点を含まない 7 文字の英数字で構成され、大文字と小文字が区別されるパスワードには 627 とおりの組み合わせがあります。攻撃者が 1 秒間に 1,000,000 とおりの組み合わせを試した場合、解読には 40 日ほどかかります。8 文字のパスワードには、268、すなわち約 2 x 1011 とおりの組み合わせがあります。これは一見して十分大きい数に見えますが、多くのパスワード解読ユーティリティでは 1 秒間に 1,000,000 とおりの組み合わせをチェックできるので、すべての組み合わせを試すために要する時間はわずか 59 時間です。ALT 文字やその他の特殊文字 (! や @ など) を使用してパスワードを作成すれば、解読時間は格段に長くなります。

パスワードは、一方向の (元に戻せない) ハッシュ アルゴリズムが適用されてから、セキュリティ アカウント マネージャ (SAM) データベースまたは Active Directory に保存されます。したがって、正しいパスワードかどうかを判定する既知の方法としては、同じ一方向ハッシュ アルゴリズムを適用し、その結果を比較するしかありません。辞書攻撃の場合は、辞書に記載されているすべての語句に対して暗号化プロセスを実行し、一致するかどうかを調べます。単純な方法ですが、"password" または "guest" など、ありふれた単語をアカウント パスワードとして使用しているユーザーならかなり高い確率で見つけ出すことができます。

古いバージョンの Windows では、LAN Manager ハッシュ (LMHash) と呼ばれるハッシュ アルゴリズムが使用されていました。このアルゴリズムでは、パスワードを 7 文字以下のブロックのに分割し、ブロックごとにハッシュ値を計算します。Windows 2000 Server、Windows XP、および Windows Server 2003 では、新しいハッシュ アルゴリズムが使用されていますが、旧バージョンとの互換性のため、LM ハッシュを計算して保存することもできます。

LMHash 値は、パスワード解読者にとって解読が容易な値です。パスワードが 7 文字以下の場合、LM ハッシュの後半部分の値を見ただけで、そのパスワードが 8 文字より短いことがわかってしまいます。長いパスワードであれば、攻撃者はそのパスワードの 2 つの部分を解読しなければなりません。したがって、パスワードの長さを 8 文字以上に義務付けることによって、脆弱な LM ハッシュを強化できます。LM ハッシュの 2 つのブロックは同時に攻撃することが可能なので、LM ハッシュの片方が 1 文字しかなかった場合には、ブルート フォース攻撃によってミリ秒単位で解読されてしまいます。したがって、その 1 文字が Alt 文字セットの一部でない限り、有益とは言えません。

以上の理由から、長いパスワードの代わりに短いパスワードを使用することはお勧めしません。ただし、最低文字数の要件が大きすぎると誤入力の発生が増え、アカウントのロックアウトやヘルプ デスクへの問い合わせが増える可能性があります。また、パスワードが長すぎると、自分のパスワードを忘れないように書き留めておくユーザーが増えるため、結果として組織のセキュリティの低下につながります。

パスワードは、複雑さの要件を満たす必要がある

このポリシー設定は、すべての新しいパスワードについて、複雑さの要件を満たすことを作成時に確認します。Windows Server 2003 のポリシー ルールを直接変更することはできません。ただし、新しいバージョンの Passfilt.dll ファイルを作成して、別のルール セットを適用することは可能です。カスタム Passfilt.dll ファイルの作成については、http://msdn2.microsoft.com/en-us/library/ms722439.aspx にある、MSDN® の文書「Sample Password Filter」(英語情報) を参照してください。

実際、8 文字のパスワードよりも覚えやすく、安全性の高い 20 文字以上のパスワードを設定することができます。たとえば、パスワード「I love cheap tacos for $.99」は 27 文字です。このようなパスワード (実際にはパス フレーズに相当するもの) は「P@55w0rd」のような短いパスワードよりもユーザーには覚えやすいかもしれません。「P@55w0rd」

[パスワードの長さ] を 8 に設定することで、ブルート フォース攻撃を仕掛けることが非常に難しくなります。キーボードから入力できる英数字で大文字と小文字を区別することで、使用できる文字数は 26 から 62 に増加します。その場合、8 文字のパスワードには 2.18 x 1014 とおりの組み合わせがあります。1 秒間に 1,000,000 とおりの組み合わせをチェックしたとして、すべての組み合わせをチェックするのに 6.9 年かかります。

以上の理由から、このガイドで定義している 3 つの環境すべてにおいて、 [パスワードは、複雑さの要件を満たす必要がある] 設定を [有効] にすることをお勧めします。

暗号化を元に戻せる状態でパスワードを保存する

このポリシー設定は、オペレーティング システムでパスワードの格納時に元に戻せる暗号化を使用するかどうかを指定します。この設定は、認証に使用するためユーザー パスワードを必要とするプロトコルを使用するアプリケーションをサポートします。

元に戻せる暗号化方法を使用して格納されるパスワードは、元に戻せない暗号化で格納されるパスワードより簡単に解読されます。この設定が有効な場合には、脆弱性が高まります。

この理由から、Microsoft は、アプリケーションの要件がパスワード情報保護より優先される場合を除き、 [暗号化を元に戻せる状態でパスワードを保存する] 設定を [無効] に指定することをお勧めします。一方、リモート アクセスまたは IAS を介してのチャレンジ ハンドシェイク認証プロトコル (CHAP) を展開する環境またはインターネット インフォメーション サービス (IIS) のダイジェスト認証を使用する環境では、このポリシー設定を有効にする必要があります。

必要なとき以外はユーザーがパスワードを変更できないようにする方法

ここまでで説明したパスワード ポリシー設定だけでもさまざまな構成が可能ですが、組織によってはすべてのユーザーを集中管理する必要があります。ここでは、必要な場合を除いて、ユーザーによるパスワード変更を禁止する方法について説明します。

ユーザー パスワードの集中管理は、慎重に設計された Windows Server 2003 セキュリティ計画の基礎となる機能です。前述のとおり、グループ ポリシーを使用してパスワードの変更禁止期間と有効期間を設定できますが、パスワード変更が頻繁に必要になる環境では、パスワードの履歴を記録する設定の拘束からユーザーは抜けることができるようになります。また、最短パスワード長の設定が大きすぎると、パスワードを忘れたユーザーからのヘルプ デスクへの問い合わせ件数が増えることにつながります。

パスワードの変更禁止期間が過ぎてから有効期限が切れるまでの間であれば、ユーザーは自分のパスワードをいつでも変更できます。ただし、セキュリティ強化 - 機能制限環境では、ユーザーがパスワードを変更する必要があるのは、 [パスワードの有効期間] 設定である 42 日が過ぎた後に、オペレーティング システムから要求される場合に限られます。ユーザーが必要以外はパスワードを変更できないようにするには、Ctrl+Alt+Del キーを押して [Windows のセキュリティ] ダイアログ ボックスを表示し、 [パスワードの変更] オプションを無効にします。ただし、セキュリティへの関心が高いユーザーがパスワードを指定より頻繁に変更しようとして、管理者への問い合わせ回数が増えてサポート コストが上昇する可能性もあります。

この構成は、グループ ポリシーを使用してドメイン全体に実装したり、レジストリを編集して特定のユーザーだけに実装したりできます。この構成の詳細については、http://support.microsoft.com/?kbid=324744 のマイクロソフト サポート技術情報「Windows Server 2003 でシステムからの要求時以外はユーザーによるパスワードの変更を禁止する方法

アカウント ロックアウトのポリシー

Windows Server 2003 SP1 のセキュリティ機能であるアカウント ロックアウトのポリシーは、指定した期間内に一定の回数以上ログオンに失敗した場合にそのユーザー アカウントをロックします。許可される試行回数と期間は、ポリシーに設定されている値に基づいています。Windows Server 2003 SP1 はログオン試行を追跡しているので、サーバー ソフトウェアを構成することにより、所定の回数だけログオンに失敗したアカウントがあった場合に、攻撃の可能性があると判断して、そのアカウントを無効にするようにできます。

脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定 の「第 2 章 ドメイン レベル ポリシー」を参照してください。

アカウント ロックアウトのポリシーの設定

次の表は、アカウント ロックアウトのポリシーの推奨設定の一覧を示しています。グループ ポリシー オブジェクト エディタを使用すると、次の場所でこれらの設定をドメイン グループ ポリシーに構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\アカウント ロックアウトのポリシー

各設定についての追加情報については、表の後のサブセクションで説明します。

表 3.2 アカウント ロックアウトのポリシーの設定

設定レガシ クライアント環境エンタープライズ クライアント環境セキュリティ強化 - 機能制限環境

ロックアウト期間

30 分

30 分

15 分

アカウントのロックアウトのしきい値

50 回の無効なログイン

50 回の無効なログイン

10 回の無効なログイン

ロックアウト カウンタのリセット

30 分

30 分

15 分

ロックアウト期間

[ロックアウト期間] を 0 に設定すると、管理者が解除するまでアカウントはロックされたままになります。Windows Server 2003 SP1 におけるこのポリシー設定の既定値は [未定義] です。

[ロックアウト期間] を設定すると安全性が高くなりますが、誤入力によりロックされたアカウントの解除に関するヘルプ デスクへの問い合わせ件数が増加する要因になります。

[ロックアウト期間] には、レガシ クライアント環境とエンタープライズ環境については [30 分] を、セキュリティ強化 - 機能制限環境では [15 分] を、それぞれ設定することをお勧めします。この設定により、サービス拒否 (DoS) 攻撃を受けたときのオーバーヘッドが小さくなります。DoS 攻撃とは、組織内のすべてのユーザーを対象にログオンの失敗を故意に繰り返し、それらのユーザーのアカウントをロックアウトしてしまう攻撃方法です。推奨設定では、ロックアウトされたユーザーは、ヘルプ デスクによる対応がなくても、しばらくすると再度ログオンできるようになります。ただし、この設定値をユーザーに周知させる必要があります。

アカウントのロックアウトのしきい値

このポリシー設定では、ユーザーが何回ログオンに失敗した時点でそのアカウントをロックするかを指定します。

[アカウントのロックアウトのしきい値] を大きな値に設定します。

[アカウントのロックアウトのしきい値] を設定した場合でも、設定しなかった場合でも、脆弱性はなくならないので、どちらについてもそれぞれ対応策が定義されています。対処すべき脅威とリスクに応じて、どちらを選択するかを検討してください。

  • [アカウント ロックアウトのしきい値] を 0 に設定します。これにより、ユーザーが誤って自らのアカウントからロックアウトされることがなくなり、ヘルプ デスクへの問い合わせ件数が減少します。また、組織内のアカウントを意図的にロックアウトしようとする DoS 攻撃も成功しません。ただし、ブルート フォース攻撃は阻止できないので、この設定を選択するのは、次の条件をどちらも満たしている場合に限定してください。

    • パスワード ポリシーを使用して、すべてのユーザーが 8 文字以上の複雑なパスワードを使用することを義務付けている。

    • 堅牢な監査メカニズムが稼動しており、環境でアカウントのログオン失敗が繰り返し発生した場合に管理者に警告が通知される。たとえば、監査メカニズムでは、セキュリティ イベント 539 "ログオンの障害。ログオンした時点で、アカウントがロックアウトされていました。" を監視する必要があります。このイベントは、ログオン試行のしきい値に達したことを理由にアカウントがロックアウトされたことを意味しています。ただし、イベント 539 はアカウントのロックアウトのみを示しており、ログオンに失敗したパスワードは示していません。したがって、管理者は、入力された不正なパスワードも監視する必要があります。

  • [アカウントのロックアウトのしきい値] にある程度大きい値を設定し、ユーザーがパスワードを何度か間違えて入力してもロックされることがないようにします。ただし、値が設定が適切でないと、ブルート フォース パスワード攻撃によりアカウントがロックアウトされます。

[アカウントのロックアウトのしきい値] を 50 に設定することをお勧めします。この値で、実用的なセキュリティが得られ、それなりの利便性も確保されます。この値により、アカウントが誤ってロックアウトされることが防がれ、ヘルプ デスクへの問い合わせ件数が減少しますが、前述のサービス拒否 (DoS) 攻撃を阻止することはできません。一方、セキュリティ強化 - 機能制限のためには、このポリシー設定値を 10 に構成することをこのガイドではお勧めします。

ロックアウト カウンタのリセット

[アカウントのロックアウトのしきい値] を 0 にリセットしてアカウントのロックを解除するまでの時間を指定します。 [アカウントのロックアウトのしきい値] を定義した場合、このリセット時間は、 [ロックアウト期間] の設定値以下である必要があります。

[ロックアウト カウンタのリセット] 設定は、他の設定と連携して機能します。このポリシー設定を既定値のままにしたり、時間を長くしすぎたりすると、環境がアカウント ロックアウト DoS 攻撃に弱くなります。アカウントのロックアウトをリセットするポリシー設定を使用しない場合は、管理者がすべてのアカウントを手動でロック解除する必要があります。反対に、この設定に適当な値を設定した場合、すべてのアカウントが自動的にロック解除されない限り、ユーザーは一定期間だけロックアウトされます。

[ロックアウト カウンタのリセット] 設定を 30 分に指定することをお勧めします。この設定により、ヘルプ デスクによる対応が不要になり、期間がユーザーの同意を得やすくなります。一方、セキュリティ強化 - 機能制限の環境では、このポリシー設定を 15 分にすることをお勧めします。

Kerberos ポリシー

Kerberos ポリシーは、ドメイン ユーザー アカウントで使用します。このポリシーは、チケットの有効期限や適用など、Kerberos Version 5 認証プロトコル関連の設定を指定します。Kerberos ポリシーは、ローカル コンピュータ ポリシーには存在しません。Kerberos チケットの有効期間を短縮すると、攻撃者がパスワードを盗んで正規ユーザー アカウントになりすまそうとするリスクが低減されます。ただし、このポリシーを適用すると承認オーバーヘッドが増加します。

ほとんどの環境では、これらのポリシーの既定値を変更しないでください。Kerberos の設定は既定のドメイン ポリシーに含まれており、そこで適用されます。したがって、このガイドに付属のセキュリティ テンプレートには Kerberos 設定が含まれていません。

このガイドでは、既定の Kerberos ポリシーを変更しないことをお勧めします。このポリシー設定の詳細については、http://go.microsoft.com/fwlink/?LinkId=15159 の関連ガイド 脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定

セキュリティ オプション

この章で前述した 3 つの異なるアカウント ポリシーはドメイン レベルで定義されており、ドメイン内のすべてのドメイン コントローラによって適用されます。ドメイン コントローラは、常に既定のドメイン ポリシー GPO からアカウント ポリシーを取得します。そのドメイン コントローラを含んでいる OU に別のアカウント ポリシーが適用される場合でも同様です。

アカウント ポリシーに似た 3 つのセキュリティ オプション設定が存在します。この設定を、個々の OU にではなく、ドメイン全体に適用してください。この設定は、グループ ポリシー オブジェクト エディタの次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

セキュリティ オプションの設定

次の表は、セキュリティ オプションの推奨設定の一覧を示しています。各設定についての追加情報については、表の後のサブセクションで説明します。

表 3.3 セキュリティ オプションの設定

設定レガシ クライアント環境エンタープライズ クライアント環境セキュリティ強化 - 機能制限環境

Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する

有効

有効

有効

ネットワーク アクセス:匿名の SID と名前の変換を許可する

無効

無効

無効

ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる

有効

有効

有効

Microsoft ネットワーク サーバー:ログオン時間の有効期間が切れるとクライアントを切断する

このポリシー設定では、使用しているユーザー アカウントに有効なログオン時間外にローカル コンピュータに接続しているユーザーを切断するかどうかを決定します。このポリシー設定は、サーバー メッセージ ブロック (SMB) コンポーネントに影響を与えます。この設定を有効にすると、SMB サービスを使用するクライアント セッションは、そのクライアントに許可されているログオン時間が過ぎると強制的に切断されます。無効の場合、クライアントに許可されているログオン時間外になった後も、そのクライアント セッションはそのまま維持されます。この設定を有効にするときは、 [ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] 設定も有効にしてください。

[Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する] 設定を有効にします。この設定を有効にしないと、ログオン時間以外の時間はネットワーク リソースにアクセスできないユーザーであっても、アクセス時間内に確立されたセッションを通じてネットワーク リソースを引き続き使用できることになります。

このガイドでは、このガイドで定義している 3 つの環境すべてについて、 [Microsoft ネットワーク サーバー: ログオン時間の有効期間が切れるとクライアントを切断する] を [有効] に設定することをお勧めします。ログオン時間が使用されていない場合、このポリシー設定による影響はありません。

ネットワーク アクセス:匿名の SID と名前の変換を許可する

このポリシー設定は、匿名ユーザーが別のユーザーの SID を要求できるかどうかを指定します。

[ネットワーク アクセス: 匿名の SID と名前の変換を許可する] 設定をドメイン コントローラで有効にした場合、管理者の SID 属性を知っているユーザーは、このポリシーが有効になっている別のコンピュータにアクセスし、その SID を使用して管理者の名前を取得できます。さらに、そのユーザーは、取得したアカウント名を使用してパスワード推測攻撃を開始することができます。

[ネットワーク アクセス: 匿名の SID と名前の変換を許可する] の既定の設定が [無効] のメンバ コンピュータは、このポリシー設定の影響を受けません。ただし、ドメイン コントローラでの既定の設定は [有効] です。このポリシー設定を無効にすると、古いオペレーティング システムを実行しているコンピュータが Windows Server 2003 SP1 ベースのドメインと通信できなくなる場合があります。このようなコンピュータの例は次のとおりです。

  • Windows NT® 4.0 ベースのリモート アクセス サービス サーバー。

  • Windows NT 3.x または Windows NT 4.0 ベースのコンピュータ上で実行されている Microsoft SQL Servers™。

  • Windows NT 3.x ドメインまたは Windows NT 4.0 ドメインに配置されている Windows 2000 ベースのコンピュータ上で実行されているリモート アクセス サービス サーバー。

このガイドでは、このガイドで定義している 3 つの環境すべてについて、 [ネットワーク アクセス: 匿名の SID と名前の変換を許可する] を [無効] に設定することをお勧めします。

ネットワーク セキュリティ:ログオン時間を経過した場合はユーザーを強制的にログオフさせる

このポリシー設定では、使用しているユーザー アカウントに有効なログオン時間外にローカル コンピュータに接続しているユーザーを切断するかどうかを決定します。この設定は SMB コンポーネントに影響します。

[ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] 設定を有効にすると、ユーザーに許可されているログオン時間外になった場合に、SMB サーバーを使用したクライアント セッションは強制的に切断されます。ユーザーは、スケジュールされている次のアクセス可能時間になるまで、コンピュータにログオンできません。このポリシー設定を無効にすると、ユーザーは、ログオン時間外になった後も、確立済みのクライアント セッションを保持できます。ドメイン アカウントに適用するには、この設定を既定のドメイン ポリシーで定義する必要があります。

このガイドでは、このガイドで定義している 3 つの環境すべてについて、 [ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる] を [有効] に設定することをお勧めします。

まとめ

この章では、ドメイン全体に関するすべての設定をレビューする必要性について説明しました。各ドメインには、パスワード ポリシー、アカウント ロックアウトのポリシー、Kerberos バージョン 5 認証プロトコル ポリシーを 1 セットだけ設定できます。その他のパスワード設定やアカウント ロックアウト設定は、メンバ サーバーのローカル アカウントにのみ影響を与えます。ドメインのすべてのメンバ サーバーに適用する設定を計画し、組織全体が十分なレベルのセキュリティで保護されるようにしてください。

関連情報

Windows Server 2003 SP1 を実行するサーバーのドメイン ポリシーに関する詳細情報は、以下のリンクから参照できます。



目次

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました
表示:
© 2014 Microsoft