対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)
[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] ポリシー設定は、ユーザーがキャッシュされたアカウント情報を使用して Windows ドメインにログオンできるかどうかを決定します。ドメイン アカウントのログオン情報はローカルにキャッシュできます。したがって、その後のログオンでドメイン コントローラーにアクセスできない場合も、ユーザーは引き続きログオンできます。このポリシー設定によって、ログオン情報がローカルにキャッシュされる一意ユーザーの数が決まります。
ドメイン コントローラーが使用できない場合にユーザーのログオン情報がキャッシュされていると、次のメッセージがユーザーに表示されます。
ユーザーのドメインのドメイン コントローラーにアクセスできませんでした。キャッシュされているアカウント情報でログオンしています。前回のログオン後にプロファイルに加えた変更は反映されない場合があります。
ドメイン コントローラーが使用できない場合にユーザーのログオン情報がキャッシュされていないと、次のメッセージがユーザーに表示されます。
現在ドメイン DOMAIN NAME が利用できないため、システムにログオンできません。
このポリシー設定の値は、サーバーがログオン情報をローカルにキャッシュする一意ユーザーの数です。値が 10 の場合、サーバーは 10 人のユーザーのログオン情報をキャッシュします。11 人目のユーザーがデバイスにログオンすると、キャッシュされた中で一番古いログオン セッションが上書きされます。
サーバー コンソールにアクセスするユーザーのログオン資格情報はそのサーバー上にキャッシュされます。悪意のあるユーザーがサーバーのファイル システムにアクセスできる場合、このキャッシュされた情報を見つけて、ブルート フォース攻撃を使用してユーザー パスワードを判別することができます。Windows はこのような攻撃を防ぐために、情報を暗号化して、キャッシュした資格情報をシステムのレジストリに保存します (レジストリはいくつもの物理的な場所に分散しています)。
設定可能な値
ユーザー定義の 0 から 50 までの数
未定義
ベスト プラクティス
[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] は 0 に設定することをお勧めします。この値を 0 に設定すると、ログオン情報のローカル キャッシュが無効になります。その他の対策には、強力なパスワード ポリシーの実施やコンピューターの物理的なセキュリティ保護が含まれます。値を 0 に設定すると、ドメイン コント ローラーを認証に使用できない場合に、ユーザーはすべてのコンピューターにログオンできなくなります。特にモバイル ユーザー向けのエンドユーザー システムでは、[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] を 2 に設定してもよいでしょう。この値を 2 に設定しておくと、IT 部門のメンバーがシステム メンテナンスを実行するためにデバイスにログオンした直後でも、ユーザーのログオン情報がキャッシュに存在します。これにより、ユーザーが企業ネットワークに接続しなくてもデバイスにログオンできます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
| サーバーの種類または GPO | 既定値 |
|---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
10 ログオン |
DC の有効な既定の設定 |
10 ログオン |
メンバー サーバーの有効な既定の設定 |
10 ログオン |
クライアント コンピューターの有効な既定の設定 |
10 ログオン |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
このポリシー設定に割り当てられる数は、サーバーがログオン情報をローカルにキャッシュする一意ユーザーの数です。数が 10 に設定される場合、サーバーは 10 人のユーザーのログオン情報をキャッシュします。11 人目のユーザーがデバイスにログオンすると、キャッシュされた中で一番古いログオン セッションが上書きされます。
サーバー コンソールにアクセスするユーザーのログオン資格情報はそのサーバー上にキャッシュされます。攻撃者がサーバーのファイル システムにアクセスできる場合、このキャッシュされた情報を見つけて、ブルート フォース攻撃を使用してユーザー パスワードの判別を試みることができます。
Windows はこのような攻撃を防ぐために、情報を暗号化し、情報の物理的な場所をわかりづらくします。
対策
[対話型ログオン: キャッシュする過去のログオン数 (ドメイン コントローラーが使用できない場合)] を 0 に構成し、ログオン情報のローカル キャッシュを無効にします。その他の対策には、強力なパスワード ポリシーの実施やコンピューター設置場所の物理的なセキュリティ保護が含まれます。
潜在的な影響
ドメイン コント ローラーを認証に使用できない場合、ユーザーはすべてのデバイスにログオンできなくなります。特にモバイル ユーザー向けのエンドユーザー コンピューターでは、この値を 2 に設定してもよいでしょう。この値を 2 に構成すると、IT 部門のメンバーがシステム メンテナンスを実行するためにデバイスにログオンした直後でも、ユーザーのログオン情報がキャッシュに存在します。これにより、ユーザーが組織のネットワークに接続しなくてもコンピューターにログオンできます。