対話型ログオン: パスワードが無効になる前にユーザーに変更を促す
[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。
リファレンス
[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す] ポリシー設定は、パスワードが失効する何日前にユーザーに警告するかを決定します。この事前の警告によって、ユーザーは、十分に強力なパスワードを作成する時間を持つことができます。
設定可能な値
ユーザーが定義した日数 (0 ~ 999)。
未定義。
ベスト プラクティス
ユーザーのパスワードを定期的に失効するように構成します。パスワードの失効日が近づいていることをユーザーに警告する必要があります。警告がない場合、ユーザーは気づかずにシステムからロックアウトされる可能性があります。これは、ネットワークにローカルにアクセスしているユーザーを混乱させたり、ダイヤルアップ接続や仮想プライベート ネットワーク (VPN) 接続を介してネットワークにアクセスしているユーザーがログオンできなくなったりする可能性があります。
[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す] を 5 日に設定します。パスワードの失効日が 5 日以内の場合、ユーザーがドメインにログオンするたびにダイアログ ボックスが表示されます。
この値は 0 に設定しないでください。ユーザーがログオンするたびにパスワード失効警告が表示されます。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
14 日 * |
DC の有効な既定の設定 |
14 日 * |
メンバー サーバーの有効な既定の設定 |
14 日 * |
クライアント コンピューターの有効な既定の設定 |
14 日 * |
ポリシー管理
このセクションでは、このポリシーの管理をサポートするために利用可能な機能およびツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
なし。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル コンピューター上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
組織でユーザーのパスワードが定期的に失効するように構成されている場合は、失効日が近づいていることをユーザーに警告する必要があります。警告しなかった場合、ユーザーはパスワードの失効に気づかずにシステムからロックアウトされる可能性があります。この状態は、ネットワークにローカルにアクセスしているユーザーを混乱させたり、ダイヤルアップ接続や仮想プライベート ネットワーク (VPN) 接続を介してネットワークにアクセスしているユーザーがログオンできなくなったりする可能性があります。
対策
[対話型ログオン: パスワードが無効になる前にユーザーに変更を促す] を 14 日に設定します。
潜在的な影響
パスワードが 14 日以内に失効する場合、ユーザーがドメインにログオンするたびにパスワードの変更を促すダイアログ ボックスが表示されます。