###
  • インターネット
  • プログラム
  • ゲーム
  • 問題点
  • ソーシャルメディア
  • アンドロイド
  • iOS

    • パスワードには有効期限がありません。 パスワードの最低有効期限

    16.05.2019 フラッシュドライブとHDD

    Windowsの作成 10 人の Microsoft 開発者は、システムのセキュリティに細心の注意を払いました。 それは何の価値があるのでしょうか? 生体認証 Windows Hello または拡張版 Windows ディフェンダー。 しかし今日は、本質的に Windowsユーザー 10 パスワードを定期的に変更します。 原則として、これはいつでも行うことができますが、次の場合には追加の規律が必要です。 私たちが話しているのは安全性については、誰にも迷惑をかけたことはありません。

    これは内容に応じて 3 つの方法で実行できます。 Windows版 10 インストールして使用していますか? マイクロソフトアカウント。 たとえば、Windows 10 Pro、Enterprise、または Education を使用している場合は、ローカル グループ ポリシー エディターを使用できます。

    まず、gpedit.msc を開く必要があります (Win + R を押して Enter gpedit.msc) を選択し、次のパスに移動します。 Windows の構成→ セキュリティ設定 → アカウントポリシー → パスワードポリシー

    開いたウィンドウで、「パスワードの最大有効期間」オプションを選択し、システムがパスワードの変更を要求する期間を指定する必要があります。 72日が一定の目安となりますが、任意に日数を選択することができます。

    また、「パスワードポリシー」項目では、パスワードの最小長や有効期間を選択したり、パスワードアーカイブを有効にしたりすることもできます(ユーザーが以前に使用したものを新しいパスワードとして指定できないようにします)。

    ただし、Windows 10 Home にはローカル グループ ポリシー エディターがないため、このバージョンの所有者は オペレーティング·システムコマンドラインを使用する必要があります。

    まず最初に行う必要があるのは、開くことです コマンドライン 管理者権限を持つ(これ 前提条件)、次にコマンド「wmic UserAccount set PasswordExpires=True」を入力するだけです。 プロパティを更新した後、別のコマンド「net accounts /maxpwage:72」を記述します。 72 の代わりに、必要な日数を代入できます。

    コンピューター上の特定のアカウントに対してのみパスワードの有効期限を構成する場合は、「wmic UserAccount where Name='Username' set PasswordExpires=True」コマンドを使用できます。

    ただし、アカウントを使用する場合は、 マイクロソフトの参入、これら 2 つの方法は機能しません。 確かに、このオプションは引き続き有効にすることができます。 これを行うには、Microsoft Web サイトでアカウントにログインし、そこで「パスワードの変更」項目を見つけて、「72 日ごとにパスワードを変更する」の横のボックスをチェックする必要があります。

    この場合この変更は、Windows 10 アカウントのパスワードだけでなく、OneDrive、Outlook.com、Skype、その他のサービスにも影響します。

    ところで、 このマニュアル Windows 7、Windows 8、Windows 8.1にも適しています。 この資料がお役に立った場合は、「いいね!」をお願いします。 そして、すでにとても暑い場合は、

    顧客のセキュリティを保護することは Microsoft にとって名誉なことです。 そして、私たちが見てきたように、企業内の名誉は非常に慎重に守られているため、時には押し付けがましいものになります。 少し前まで、マイクロソフトの別の製品で過剰なセキュリティ制御に関する問題が発生しました - インターネットエクスプローラー。 今日は OC 全体について話します Windowsサーバー 2012.

    デフォルトでは、システム ユーザーは 42 日ごとに、 新しいパスワード。 実際、そのようなケアの専門家はそれほど多くないため、多くの場合、このオプションを単にオフにすることがよくあります。 他のサーバーOSの場合 Windows ファミリこれは難しいことではありませんが、Windows Server 2012 ではすべてがそれほど明白ではありません。 管理者権限を使用して、すべてのサーバー ユーザーのパスワードの有効期限を同時に変更する方法を段階的に見てみましょう。

    1. コマンドを実行しますgpedit.msc: Win + R > 書き込み gpedit.msc >わかりました。

    2. 次の場所に移動します。[コンピュータの構成] > [Windows の構成] > [セキュリティ設定] > [アカウント ポリシー] > [パスワード ポリシー]。

    3. をクリックします。 デフォルトの期間は 42 日です。 選択 希望の値そして押します 適用する 。 有効期間制限を完全に削除したい場合は、値をゼロに設定します。

    Windows Server 2012 でのパスワードの有効期限の変更は、それほど難しくありません。 しかし、それだけの価値はあるでしょうか? 同じパスワードを長年使用していると、遅かれ早かれ攻撃者によってそのパスワードが機密解除されます。 もちろん、毎週月曜日に新しいものを生成する必要もありません。 多くの質問と同様、答えは中間のどこかにあります。 適切な間隔でパスワードを変更し、パスワードを強力にすることを忘れずに、クラウドに関するすべての問題やタスクについて有能なアドバイスを求めてください。

    パスワードの最大有効期間

    パスワードの最大有効期間ポリシーは、ユーザーがパスワードを変更する必要があるまでにパスワードを使用できる期間を決定します。 このポリシーの目的は、ユーザーにパスワードの定期的な変更を強制することです。 この機能を使用する場合は、ネットワークに最適な値を設定してください。 原則として、セキュリティ レベルが高いほど期間は短くなり、その逆も同様です。

    デフォルトのパスワードの有効期限は 42 日ですが、0 ~ 999 の任意の値に設定できます。値 0 は、パスワードの有効期限が切れないことを意味します。 有効期限のないパスワードを設定することもできますが、ユーザーはネットワークのセキュリティを維持するためにパスワードを定期的に変更する必要があります。 セキュリティ要件が高い場合は、30、60、または 90 日の値が適しています。 セキュリティがそれほど重要でない場合は、120、150、または 180 日の値が適切です。

    注記
    Windows 2000 は、パスワードの有効期限が近づくとユーザーに通知します。 パスワードの有効期限が 30 日未満の場合、ユーザーはシステムにログインするたびに、一定期間内にパスワードを変更する必要があるという警告が表示されます。    .

    パスワードの最低有効期限

    パスワードの最小有効期間ポリシーは、ユーザーがパスワードを変更できるようになるまでパスワードを保持しなければならない期間を決定します。 このフィールドを使用すると、ユーザーが新しいパスワードを入力して古いパスワードに置き換えることによってパスワード システムを不正行為するのを防ぐことができます。

    Windows 2000 では、デフォルトでユーザーはパスワードをすぐに変更できます。 これを防ぐために、一定の最低期間を設定します。 このパラメータの許容値の範囲は 3 ~ 7 日です。 こうすることで、ユーザーが使用済みのパスワードを使用する可能性が低くなりますが、必要に応じて適切な期間内にパスワードを変更することができます。

    パスワードの最小長

    最小パスワード長ポリシーは、パスワードの最小文字数を設定します。 デフォルト設定を変更していない場合は、すぐに変更する必要があります。 デフォルトでは、空のパスワード (文字を含まないパスワード) が許可されていますが、これは明らかに正しいアプローチではありません。

    通常、セキュリティ上の理由から、少なくとも 8 文字のパスワードが必要です。 その理由は、 長いパスワード通常、短いものよりも割れにくいです。 セキュリティを強化する必要がある場合は、パスワードの最小長を 14 文字に設定してください。

    パスワードは複雑さの要件を満たす必要があります

    Windows 2000 には、パスワードとアカウントを管理するための基本ポリシーに加えて、追加のパスワード制御を作成するためのツールが含まれています。 これらの機能は、ドメイン コントローラーにインストールできるパスワード フィルターで利用できます。 パスワード フィルターをインストールしている場合は、「パスワードは複雑さの要件を満たす必要がある」ポリシーを有効にします。 この場合、すべてのパスワードがフィルターのセキュリティ要件を満たす必要があります。

    たとえば、標準 Windowsフィルター NT (PASSFILT.DLL) では、次のガイドラインに準拠した安全なパスワードを使用する必要があります。

    • パスワードの長さは 6 文字以上である必要があります。
    • パスワードには、「stevew」などのユーザー名や、Steve などのユーザーのフルネームの一部を含めることはできません。
    • パスワードには、次の 3 つまたは 4 つの使用可能な文字タイプを使用する必要があります。 小文字, 大文字、数字と 特殊文字.

    可逆暗号化を使用してパスワードを保存する

    パスワード データベースに保存されるパスワードは暗号化されます。 一般に、暗号化は削除できません。 暗号化をオーバーライドできるようにする場合は、「次を使用してドメイン内のすべてのユーザーのパスワードを保存する」を適用します。 可逆暗号化「パスワードは可逆暗号化を使用して保存され、緊急時に復元できます。パスワードを忘れた場合は適用されません。管理者はユーザーのパスワードを変更できます。

    記事の前の部分では、 ローカルポリシー「セキュリティ」では、ローカル セキュリティ ポリシーを使用して、自宅のコンピュータと組織のドメイン環境にあるコンピュータの両方のセキュリティ関連の設定を制御する方法を学習しました。 この記事から、コンピュータの安全を保つことに関連するすべてのカテゴリのポリシーについて詳しく説明します。 この記事では、ユーザー アカウント認証、つまりノードの管理について学習します。 「アカウントポリシー」。 これらのポリシーの使用は、ドメイン環境を持つ企業で一般的です。 コンピュータのセキュリティを確保するには、このグループのポリシーを、このグループに属していないコンピュータに適用してください。 ドメイン環境(たとえば、 自宅のコンピューター) は、コンピュータのセキュリティを大幅に向上させるのに役立ちます。

    間違いなく、企業アカウントは、窃盗に興味があるハッカーにとって非常に興味深いものです。 企業情報、会社のコンピュータにアクセスすることもできます。 したがって、企業のインフラストラクチャを大幅に保護するためのソリューションの 1 つは、安全で複雑なパスワードを使用して、侵入者による侵入の可能性を減らすことです。 また、攻撃者は想像よりもずっと近くにいる可能性があることを忘れないでください。 強くお勧めします ユーザーは、アカウントのパスワードとして、大文字と小文字が異なる文字、数字、特殊文字などの複雑なパスワードを使用しており、いかなる状況でもパスワードを人目につかない場所に残しておくことはありません。 つまり、紙に書き留めたり、職場やコンピューターの横に置いたり、さらにはモニターに貼り付けたりしないでください (これはよく起こります)。 ユーザーは、設定した期間が経過した後にパスワードを変更する必要もあります。 たとえば、パスワードの有効期限を 30 日間に指定すると、有効期限が切れてからユーザーがログインする前に、 アカウントを選択すると、現在のパスワードを変更するように求めるダイアログが表示されます。

    アカウント管理ポリシーを見つけるには、グループ ポリシー管理エディターでノードを開きます。 コンピュータの構成\セキュリティ設定\アカウント ポリシー。 パスワードの管理とユーザー アカウントのロックアウトに使用される各セキュリティ ポリシーを詳しく見てみましょう。

    パスワードポリシー

    このノードを使用すると、ドメインとワークグループの両方のメンバーであるユーザー アカウントのパスワード設定を変更できます。 組織では、スナップインを使用して、ドメイン内のすべてのユーザーまたは特定のグループのみに同じパスワード ポリシーを適用できます。 「グループポリシー管理コンソール」。 ノードで 「パスワードポリシー」最大 6 つのセキュリティ ポリシーを使用でき、最も多くのセキュリティ ポリシーを指定できます。 重要なパラメータアカウントのパスワードを管理するために使用されるセキュリティ。 これらのポリシーを無視しないことを強くお勧めします。 ユーザーに強力なパスワードを使用するよう説得したとしても、実際にそれを実行するとは限りません。 このノードにある 6 つのセキュリティ ポリシーをすべて正しく構成すると、組織のユーザー パスワードのセキュリティが大幅に向上します。 すべてのポリシーを適用した後、ユーザーは実際に 安全なパスワード、彼らが「難しい」と考えるものとは対照的に。 次のセキュリティ ポリシーが利用可能です。

    米。 1 「パスワードポリシー」ノード

    パスワードのログを保存する。 パスワードがどれほど安全であっても、攻撃者は遅かれ早かれパスワードを推測できるようになります。 したがって、アカウントのパスワードを定期的に変更する必要があります。 このポリシーを使用すると、古いパスワードが再利用されるまでにアカウントに割り当てる新しいパスワードの数を指定できます。 このポリシーが構成されると、ドメイン コントローラーはユーザーの以前のハッシュのキャッシュをチェックして、ユーザーが古いパスワードを新しいパスワードとして使用できないようにします。 パスワードの数は 0 から 24 まで変化します。つまり、数値 24 をパラメータとして指定した場合、ユーザーは次のパスワードを使用できます。 以前のパスワード 25回目から。

    パスワードの最大有効期間。 このポリシーは、ユーザーがパスワードを変更するまでに使用できる期間を指定します。 指定された期間が終了すると、ユーザーはパスワードを変更する必要があります。パスワードを変更しないとシステムにログインできなくなります。 指定可能な値は0日から999日まで設定できます。 0 に設定すると、パスワードは無期限になります。 セキュリティ対策のため、この選択は拒否することをお勧めします。 パスワードの最大有効期間が 1 ~ 999 日の範囲である場合、最小値は最大値より小さくする必要があります。 30 ~ 45 日の値を使用するのが最善です。

    パスワードの最小長。 このポリシーを使用すると、パスワードに含める必要がある最小文字数を指定できます。 この設定を有効にすると、新しいパスワードを入力するときに、文字数がこのポリシーで設定された文字数と比較されます。 指定した文字数に満たない場合は、セキュリティポリシーに従ってパスワードを変更する必要があります。 ポリシー値は 1 ~ 14 文字で指定できます。 最適値ユーザーパスワードの文字数は 8 文字、サーバーの場合は 10 ~ 12 文字です。

    パスワードの最小有効期間。 多くのユーザーは、新しいことをわざわざ覚えることを望まないでしょう。 複雑なパスワードまた、既知の元のパスワードを使用できるように、入力された新しいパスワードをすぐに変更できるようになります。 現在のセキュリティ ポリシーは、そのような行為を防止するために開発されました。 ユーザーが新しいパスワードを使用しなければならない最小日数を指定できます。 このポリシーで使用できる値の範囲は 0 ~ 998 日です。 値を 0 日に設定すると、ユーザーは新しいパスワードを作成した後すぐにパスワードを変更できるようになります。 新しいパスワードの最小有効期間は最大有効期間を超えないよう注意してください。

    パスワードは複雑さの要件を満たす必要があります。 これは最も重要なパスワード ポリシーの 1 つであり、パスワードを作成または変更するときにパスワードが複雑さの要件を満たす必要があるかどうかを制御します。 これらの要件により、パスワードは次のとおりである必要があります。

    • 大文字と小文字を同時に含む。
    • 0 から 9 までの数字が含まれます。
    • 文字と数字以外の文字が含まれている場合 (!、@、#、$、* など)。
    • ユーザー アカウント名や、隣接する 2 文字を超える完全なユーザー名の一部を含めないでください。

    ユーザーが要件を満たすパスワードを作成または変更した場合、そのパスワードは渡されます。 数学的アルゴリズムポリシーで説明されているハッシュ コード (一方向関数とも呼ばれます) への変換 「パスワードのログを保管してください。」

    可逆暗号化を使用してパスワードを保存する。 アプリケーションを使用してパスワードが傍受されないようにするには、 アクティブディレクトリハッシュコードのみを保存します。 ただし、認証のためにユーザーのパスワードの知識を必要とするプロトコルを使用するアプリケーションをサポートする必要がある場合は、現在のポリシーを使用できます。 このポリシーを使用すると、特にパスワードとドメイン全体のセキュリティが大幅に低下するため、元に戻せる暗号化はデフォルトで無効になっています。 この機能の使用は、パスワードを次の場所に保存するのと似ています。 オープンフォーム.

    アカウント ロックアウト ポリシー

    複雑なパスワードを設定した後でも、 正しい設定セキュリティ ポリシーを無視しても、ユーザー アカウントは引き続き悪意のある攻撃を受ける可能性があります。 たとえば、パスワードの最低有効期間を 20 日に設定すると、ハッカーがアカウントのパスワードを推測するのに十分な時間が与えられます。 ユーザーアカウント名はアドレス名と一致することが多いため、ハッカーにとってアカウント名を見つけることは問題ではありません。 メールボックス。 また、名前がわかっている場合、パスワードを推測するには約 2 ~ 3 週間かかります。

    グループポリシー Windowsのセキュリティ一連のホスト ポリシーを使用して、そのようなアクションに対抗できます。 「アカウントロックアウトポリシー」。 助けを借りて このセットポリシーを使用すると、誤ったユーザーのログイン試行回数を制限できます。 もちろん、指定された回数試行すると誰もがパスワードを入力できるわけではないため、これはユーザーにとって問題になる可能性がありますが、アカウントのセキュリティは「 新しいレベル」 このノードで使用できるポリシーは 3 つだけです (以下で説明します)。

    米。 2 「アカウントロックアウトポリシー」

    ブロッキングカウンターがリセットされるまでの時間。 Active Directoryと グループポリシーログイン試行回数が設定したしきい値を超えたアカウントのロックを自動的に解除できます。 このポリシーは、自動ロック解除の試行が失敗してから経過する必要がある分数を設定します。 値は 1 分から 99999 まで設定できます。この値は次のとおりです。 値より小さい政治

    ブロッキングしきい値。 このポリシーを使用すると、アカウントがロックされるまでの無効なログイン試行回数を指定できます。 アカウントのロックアウト期間の終了はポリシーによって設定されます 「アカウントのロックアウト期間」または、管理者がアカウントのロックを手動で解除することもできます。 失敗したログイン試行回数の範囲は 0 ~ 999 です。許可される試行回数を 3 ~ 7 回に設定することをお勧めします。

    アカウント停止の期間。 この設定では、アカウントが自動的にロック解除されるまでのロック時間を指定できます。 0 ~ 99999 分の値を設定できます。 このポリシーの値が 0 の場合、アカウントは管理者が手動でロックを解除するまでロックされます。

    ケルベロスポリシー

    アクティブなドメイン Directory は、Kerberos プロトコルを使用してドメイン ユーザーとコンピューター アカウントを認証します。 ユーザーまたはコンピュータを認証した直後に、このプロトコルは指定された詳細の信頼性を検証し、次の特別なデータ パケットを発行します。 「チケット交付チケット(TGT)」。 ユーザーがサーバーに接続してドキュメントを要求する前に、要求は Kerberos 認証されたユーザーを識別する TGT とともにドメイン コントローラーに転送されます。 次に、ドメイン コントローラーは、サービス アクセス チケットと呼ばれる別のデータ パケットをユーザーに発行します。 ユーザーはサーバー上のサービスにアクセス チケットを提供し、サーバーはそれを認証の証拠として受け入れます。

    このノードはドメイン コントローラー上でのみ見つかります。 次の 5 つのセキュリティ ポリシーが利用可能です。

    米。 3.「ケルベロスポリシー」

    コンピュータの時計同期の最大誤差。 「パケット リプレイ攻撃」を防ぐために、現在のセキュリティ ポリシーでは、クライアントの時間と認証を提供するドメイン コントローラーの時間の間で Kerberos が許容する最大時間差を定義しています。 このポリシーが設定されている場合は、両方の時計を同じ日付と時刻に設定する必要があります。 クライアント コンピュータとドメイン コントローラのクロックの差が、このポリシーで定義されている最大時間差よりも小さい場合、両方のコンピュータで使用されるタイム スタンプは有効であるとみなされます。

    ユーザーチケットの最大有効期間。 現在のポリシーを使用すると、チケット送信チケット (TGT) を使用できる最大時間間隔を指定できます。 TGT チケットの有効期限が切れたら、既存のチケットを更新するか、新しいチケットをリクエストする必要があります。

    サービスチケットの最大有効期間。 このセキュリティ ポリシーを使用すると、サーバーへの接続を要求しているクライアントが期限切れのセッション チケットを提示した場合、サーバーはエラー メッセージを発行します。 判断できます 最大数量受信したセッションチケットを使用してアクセスできる時間 (分) 特定のサービス。 セッション チケットは、サーバーへの新しい接続の認証にのみ使用されます。 接続後 テストされるだろう本物である場合、航空券の有効期間は意味を持ちません。

    ユーザーチケット更新の最大有効期間。 このポリシーを使用すると、チケット付与チケットを復元できる日数を設定できます。

    ユーザーの強制ログイン制限。 このポリシーを使用すると、Kerberos キー配布局がユーザー アカウントに対して有効な権利ポリシーに照らして各セッション チケット リクエストを検証する必要があるかどうかを決定できます。

    結論

    今日では、組織のクライアント ワークステーションと自宅のコンピューターの両方のアカウントのセキュリティについて、ますます心配する必要があります。 あなたのコンピュータを制御しようとする悪意のある者は、あなたから何千、何十万キロも離れた場所にいるハッカーだけでなく、あなたの従業員である可能性もあります。 アカウント ポリシーは、アカウントを保護するのに役立ちます。 この記事では、アカウントのパスワード、パスワード推測によるアカウントのロックアウト、およびドメイン ユーザー アカウントとコンピュータの認証に使用されるプロトコルである Kerberos ポリシーに関連するすべてのポリシーについて詳しく説明します。 次の記事では、監査ポリシーについて学習します。

    あなたはネットワーク管理者で、すべてのユーザー アカウントにパスワードの有効期限を設定したいと考えていますか? 新しい Windows 10 OS ではこれが簡単に実行できます。

    ご存知のとおり、オペレーティング システムでは、ローカル アカウントまたは Microsoft アカウントを選択して使用できます。 1 つ目は、その機能上、一部のシステム機能の使用を許可しません。 2 つ目は、 フルアクセス彼らに。

    さらに、システムにログインするときに必須ですが、2 番目のケースでは、常にパスワードの入力が求められます。 この状況が気に入らない場合は、 と を使用することもできます。

    OS のことを知っているユーザーはあまりいません Windowsはすでにパスワードの有効期間を設定し、有効期限が切れた後にユーザーに新しいパスワードの設定を強制することは、長い間可能でした。 まず第一に、これは管理者のセキュリティに対する懸念です。

    マネージャーの助けを借りて ローカルユーザーグループ化も簡単です。 このオプションは以下でのみ利用可能であることに注意してください。 プロフェッショナル版オペレーティング·システム。 Home Edition では利用できません。

    この問題に興味を示したら、実装を始めましょう。 また、コンピューターの管理者権限が必要であることを忘れないでください。

    パスワードの有効期間

    まずは「ファイル名を指定して実行」ユーティリティから始めましょう。 勝利キーキーボードの + R を押します。 起動後、「名前」フィールドに次のファイル名を入力します。

    Lusrmgr.msc

    「OK」ボタンまたはEnterキーを押してください。

    ウィンドウの左側で「ユーザー」フォルダーを選択し、右側でアクティブ化する必要がある名前を選択します。 必要な機能。 次に、それをマウスでダブルクリックします。

    次のプロファイルプロパティウィンドウで、「全般」タブに移動し、「パスワードを無期限にする」のチェックを外し、「適用」ボタンと「OK」ボタンを順にクリックします。

    これですべての手順が完了します。 30日間のカウントダウンが始まります。 この期間が経過すると、新しいパスワードを設定しない限りアカウントにログインできなくなります。 これ 信頼できるツール、 どれの ネットワーク管理者ドメイン内の全員に安全を確保するために使用されます。

    私たちの コンピューターのヒントであなたを待っています。 Facebook または Google+ に参加しませんか? 右上に必要なボタンがあります。