最新のWindowsシステム（Windows Server2008および2008R2など）とActive Directory（LinuxおよびSolarisシステムなど）の両方で、以下を決定するパスワードポリシーを構成できます。ユーザーのパスワードの長さと複雑さは、システムの最初の防衛線となります。 UnixシステムがADに対して認証する場合、これはすべてのパスワード要件を指定する場所です。 Active Directoryがパスワードポリシーが構成されている多くの場所の1つにすぎない場合でも、適切なパスワードが使用されていることを確認することをお勧めします。企業全体で同様の複雑さの基準を持つことは、適切なパスワードの重要性を強化するため、優れた戦略です。システムを安全に保ちます。

WindowsとActiveDirectoryでは、パスワードのセキュリティを強化するためにいくつかのパラメータを指定できます。デフォルト値を以下の表に示します。

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

パスワード履歴-システムによって記憶されるパスワードの数。デフォルトを使用すると、ユーザーが自分のパスワードを変更したときに、以前の24個のパスワードを再利用できません。 。

パスワードの最大有効期間-パスワードを変更するまでに使用できる期間。変更する場合、通常は90日に設定されます。これは、パスワードを数回ごとに変更する必要があることを意味します。

パスワードの最小有効期間-ユーザーが追跡できるようになるまでの待機時間もう一度パスワードを入力してください。ユーザーがすぐにパスワードを変更でき、システムが以前のパスワードのいくつかしか記憶していない場合、基本的に同じパスワードを永久に使用して、現在のパスワードを簡単に復活させることができます。新しいパスワードを数日間使用するように強制すると、元のパスワードの使用に戻る可能性は低くなります。待機時間が2日で、10個のパスワードが記憶されている場合、元のパスワードに戻るには20日かかります。その時までに、最も賢いパスワードでさえその魅力を失っているでしょう。

パスワードの最小有効期間ポリシーの欠点は、ユーザーがパスワードを変更できないことです。パスワードが侵害されたと彼らが信じている場合でも、すぐに。このオプションを選択し、緊急のパスワード変更にホットラインが利用できることを確認する場合は、このことに留意する必要があります。

パスワードの複雑さの要件-番号が組み込まれていますLinuxシステムとSolarisシステムで個別に構成されている要件の一部。この設定が有効になっている場合（デフォルトの場合）、パスワードは6文字以上で、大文字、小文字、数字の3つの文字が含まれている必要があります。 （0〜9）、特殊文字（！、＃、$など）、およびユニコード文字。さらに、パスワードには、ユーザー名の2文字を超えてはなりません（ユーザー名が3文字以上の場合）。

パスワードの最小長-いくつユーザーのパスワードには文字を含める必要があります。これはデフォルトで7に設定されていますが、8から12の間の何かがより良い選択です。ユーザーは追加の4文字を覚える必要があることに気が進まない可能性が高いため、両端に2桁の数字を追加したり、親友の誕生日をパスワードの前に付けたりするなど、長いパスワードを覚えやすくする方法についていくつかの提案をする準備をしてください（例：0323）または「want2goHome！」のような短いフレーズにパスワードを設定します。パスワードを書き留めることは常に非常に悪い考えですが、パスワードを思い出させるものを書き留めることは、特にそうでない場合は問題ない可能性があることを伝えます。 「彼らが覚えようとしているのはパスワードであることを明確にしないでください。

アカウントのロックアウト期間-ロックアウトされたアカウントがロック解除されるまでにロックアウトされたままになる分数。ただし、0に設定すると、管理者（この種の変更を行う権限を与えられた人）がパスワードのロックを解除するまで、パスワードはロックされたままになります。ただし、この設定はアカウントのロックアウトのしきい値に依存します。つまり、ログインに何度か失敗した後にアカウントがロックされるように指定しない場合、アカウントがロックされる期間を指定する意味はありません。

アカウントロックアウトのしきい値-アカウントがロックされる原因となるログイン試行の連続失敗回数。0（デフォルト）に設定すると、アカウントがロックされることはありません。

の唯一の欠点アカウントロックアウトのしきい値設定では、ユーザーが他のユーザーのアカウントをロックアウトできるようになります。

アカウントロックアウトカウンターのリセット後-ロックアウトカウンターがにリセットされるまでに何分経過する必要があるか0（つまり、アカウントのロックが解除されています）。これは、1分から99,999の範囲です。アカウントのロックアウト期間以下である必要があります。

ユーザーログオン制限を適用します。つまり、Kerberos Key Distribution Centerが、特定のコンピューターのユーザー権利ポリシーに対してセッションチケットのすべての要求を検証するかどうかを指定します。

サービスチケットの最大有効期間-セッションチケットを使用できる最大時間。これは、Windows（Kerberos）の基盤となる認証システムが、指定された間隔で接続を再検証する必要があることを意味します。

ユーザーチケットの最大有効期間-ユーザーのチケット許可チケットを使用できる最大時間。その後時間（デフォルトは10時間）が経過した場合は、更新する必要があります。

ユーザーチケット更新の最大有効期間-チケットを使用および更新できる期間を定義します。

コンピューターのクロック同期の最大許容値-クライアントのクロックの時間とドメインコントローラーの間に許容される最大の時間差を定義します。これは、有効なデータ送信が悪意を持ってまたは不正に繰り返されたり遅延したりする、いわゆる「リプレイ攻撃」を防ぐことを目的としています。

WindowsおよびActiveDirectoryのパスワードのデフォルト設定7文字の最小パスワード長をもっと長いものに変更しますが、かなり合理的です。ロックアウト機能により、ブルートフォースパスワード攻撃が成功する可能性はほとんどありませんが、これが設定されていてデフォルトではない場合、パスワードを8文字より長くする必要があるというユーザーの期待を設定すると、使用する他のアカウントのセキュリティが向上する可能性があります。 。