アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する
[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する] ポリシー設定は、リモート デスクトップ サービス、Telnet、ファイル転送プロトコル (FTP) などのネットワーク サービスによるリモートの対話型ログオンが、空のパスワードを持つローカル アカウントで許可されるかどうかを決定します。このポリシー設定を有効にすると、ローカル アカウントは、対話型ログオンや、リモート クライアントからのネットワーク ログオンを行うために使用する空白ではないパスワードが必要です。
このポリシー設定は、コンソールで物理的に実行される対話型ログオンやドメイン アカウントを使用するログオンには影響しません。リモートの対話型ログオンを使用する Microsoft 以外のアプリケーションは、このポリシー設定をバイパスすることができます。
空白のパスワードはコンピューターのセキュリティに対する重大な脅威であり、企業のポリシーと適切な技術対策の両方によって使用不能にする必要があります。その一方で、新しいアカウントを作成可能なユーザーが、ドメイン ベースのパスワード ポリシー設定をバイパスしたアカウントを作成した場合、そのアカウントのパスワードは空白の可能性があります。たとえば、ユーザーは、スタンドアロン システムを構築し、空のパスワードを使って 1 つまたは複数のアカウントを作成し、コンピューターをドメインに参加させることができます。空のパスワードを持つローカル アカウントでも機能します。このため、アカウント名を知っていれば誰でも、パスワードが空白のアカウントを使ってシステムにログオンできます。
物理的に安全な場所に含まれていないデバイスは、すべてのローカル ユーザー アカウントに対して強力なパスワード ポリシーを常に強制する必要があります。そうしない場合は、デバイスに物理的にアクセスできれば誰でもパスワードがないユーザー アカウントを使用してログオンできます。これは、ポータブル デバイスでは特に重要です。
Everyone グループにこのセキュリティ ポリシーを適用すると、誰もリモート デスクトップ サービス経由でログオンできなくなります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- [アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する] を有効に設定することをお勧めします。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
ポリシーの競合に関する考慮事項
GPO によって配布されるようなポリシーは、ドメインに参加しているコンピューター上で、ローカルで構成された設定よりも優先されます。ドメイン コント ローラーで、ADSI エディターまたは dsquery コマンドを使用して有効なパスワードの長さを決定します。
グループ ポリシー
このポリシー設定は、グループ ポリシー管理コンソール (GPMC) を使用して構成し、グループ ポリシー オブジェクト (GPO) を使って配布できます。このポリシーが分散 GPO に含まれない場合、ローカル デバイス上でローカル セキュリティ ポリシー スナップインを使用してこのポリシーを構成できます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
空白のパスワードはコンピューターのセキュリティに対する重大な脅威であり、組織のポリシーと適切な技術対策によって使用不能にする必要があります。Windows Server 2003 以降では、Active Directory ドメインの既定の設定で少なくとも 7 文字の複雑なパスワードが必要となります。また、Windows Server 2008 からは 8 文字です。ただし、新しいアカウントを作成する機能を持つユーザーがドメイン ベースのパスワード ポリシーをバイパスする場合、パスワードが空白のアカウントを作成することができます。たとえば、ユーザーは、スタンドアロン コンピューターを構築し、空のパスワードを使用して 1 つまたは複数のアカウントを作成し、コンピューターをドメインに参加させることができます。空のパスワードを持つローカル アカウントでも機能します。これらの非保護アカウントのいずれかの名前を知っていれば誰でも、それを使用してログオンできます。
対策
[アカウント: ローカル アカウントの空のパスワードの使用をコンソール ログオンのみに制限する] 設定を有効にします。
考えられる影響
なし。これは既定の構成です。