アカウントロックアウトは、連続して一定回数以上ログオンに失敗した場合、あらかじめ設定した時間、ログオンを受け付けない機能です。
この仕組みにより、特定のID(例:Administrator)を固定し、次々とパスワードを試す辞書攻撃や総当たり攻撃(ブルートフォース攻撃)を防止できます。本稿では、Active Directory のアカウントロックアウトの設定方法について解説します。
Group Policy の設定
ドメインコントローラーにログオンし、 [ スタート ] > [ 管理ツール ] > [ グループポリシーの管理 ] をクリックします。
ドメインを選択し、[ Default Domain Policy ] を右クリックし、[ 編集 ] をクリックします。
続いて、[ コンピューターの構成 ] > [ ポリシー ] > [ Windows の設定 ] > [ セキュリティの設定 ] > [ アカウントポリシー ] > [ アカウント ロックアウトのポリシー ] をクリックします。
アカウントのロックアウトのしきい値
ロックアウトのしきい値とは、ユーザーアカウントがロックアウトされるログオン失敗回数を指します。下の図では、5回連続失敗した際にロックアウトされます。
ここで [ OK ] をクリックすると、Active Directory から [ 提案された値の変更 ] が表示されます。[ ロックアウト カウンターのリセット ]、[ ロックアウト期間 ]、[ 管理者のロックアウトを許可する ] の3つのポリシーが未定義から、提案された設定に変更されます。ここでは、そのまま [ Enter ] キーを押し、提案を受け入れます。
[ Enter ] キーを押すと、提案された値が反映されます。
推奨値:3~5回
0 回=ロックアウトなしは原則禁止
| 業務内容 | 推奨しきい値 |
|---|---|
| システム管理業務 | 3回 |
| 一般業務 | 5回 |
ロックアウトの解除方法
ロックアウトされた場合は、 [ Active Directory ユーザーとコンピューター ] でロックアウトされたユーザーを選択し、 [ プロパティ ] > [ アカウント ] で [ アカウントのロックを解除する ] にチェックを入れて [ OK ] をクリックします。
ロックアウト カウンターのリセット
[ アカウントのロックアウトのしきい値 ]を設定すると、ログオン失敗のカウント(ロアックアウト カウンター)が始まります。このログオン失敗のカウントを記憶し続ける時間(分単位)を、このポリシーで決定します。例えば、このポリシーを有効にして [ 10分後 ] とすると、最初にログオンを失敗してから10分間は、ロックアウト カウンターが有効になり、この間にロックアウトのしきい値を越えると、ロックアウトが実行されます。逆に、2回連続してログオンを失敗しても、10分間、ログオン失敗がなければ、カウンターはリセットされ0回になります。また、ログオンが成功すればカウンターはリセットされます。
推奨値:10分~15分
(ロックアウト期間と同じか、それ以下にする)
ロックアウト期間
[ ロックアウト カウンターのリセット ] 期間内に [ ロックアウトのしきい値 ] を越えるとロックアウトが実行されます。そのロックアウトが持続する期間を分単位で決定します。[ ロックアウト カウンターのリセット ] の期間と同じか、それ以下に設定することはできません。基本的には、この2つのポリシーは同じ期間(分単位)を設定します。
推奨値:10分~15分
(ロックアウト カウンターのリセットと同じか、それ以上にする)
管理者のアカウント ロックアウトを許可する (最重要)
2022年10月の累積更新以降の Windows のポリシーでは、Built-In Administrator のアカウントロックアウトの設定が明示的に追加されました。(実際には、Windows Vista / Server 2008 以降、Built-In Administrator のアカウントロックアウト機能は有効でしたが、ポリシーとしてのスイッチはなく、混乱の原因でした。)
しかし、ロックアウト不可の Administrator は、辞書攻撃、総当たり攻撃が可能であり、イベントログに気づかなければ ランサムウェアに突破される されるアカウントの代表となったため、このポリシーが追加されました。
推奨値:有効
Administrator のロックアウトは、Administrators のメンバーであれば解除可能なため、複数の Administrators のメンバーを登録し、ロックアウト解除を可能にしておきます。
