2010年5月30日日曜日

【Windows Server】Windows2008/2008R2パスワード強度変更(脆弱化)

■ 設定を行う前の注意

パスワード強度が下がるので、システムの脆弱度が上がります。
開発/検証環境等のセキュリティレベルが低くても問題ない環境でのみ
セキュリティに配慮した十分な注意の元で使用してください。

■ 目的

Windows Server 2003 With Service Pack2は、初回パスワード変更時、Windows Server 2003 R2 With Service Pack2及び、Windows Server 2008/Windows Server2008R2ではインストール時から[複雑さの用件を満たすパスワード]以外のパスワード(ログインパスワードは複雑な文字設定[記号、数字を含む7文字以上])にしないといけません。
しかしながら、運用上パスワードを複雑な設定にする事により、面倒だったり、忘れてしまったりする場合があります。
実運用するサーバであればパスワードは厳重に管理された[複雑さの用件を満たすパスワード]を使用することは、前提であり問題にはなりませんが検証環境等のセキュリティレベルを下げて問題ない場合に[複雑さの用件を満たすパスワード]を設定した場合にはログイン時の手間が増えてしまいます。
そのような場合、セキュリティレベルを下げてるセキュリティポリシーを設定することにより、本来設定出来ない強度の低いパスワードを設定することが可能になります。

■ 設定

■ スタンドアローンサーバ
(Windows Server 2008 / 2008R2)

  1. Windows Server2008/2008
    R2にAdministrator権限を持ったアカウントでログイン
    ac01
  2. [スタート]>[管理ツール]>[ローカルセキュリティポリシー]を選択してください。
    ac02
  3. [ローカルセキュリティポリシー]ウインドウが表示されます。
    ac03
  4. [アカウントポリシー]>[パスワードのポリシー]をクリック。
    ac04
  5. 左ペインの[複雑さの用件を満たす必要があるパスワード]をクリックすると、[複雑さの用件を満たす必要があるパスワードのプロパティ]ウインドウが表示されます。チェックを[有効(デフォルト)]から[無効]に変更し、[OK]ボタンをクリック。
    ac05
  6. 再起動後、パスワードを変更したい(パスワード強度を下げたい)アカウントでログイン。
    ac01
  7. ログイン後、[Ctrl]+[Alt]+[Del]を押し表示されるメニューから[パスワードの変更(C)…]をクリック。
    ac06
  8. パスワードの変更ウインドウが表示されますので、強度が低いパスワードを設定してください。
    ac07
    ac08
  9. パスワード強度の低下設定が正しく行われていれば、今まで複雑さの用件を満たさず設定できなかったパスワードフレーズを使用したパスワード設定が行えるようになります。
    ac09 

■ Domain Server
(Windows Server 2008)

【ドメインのセキュリティレベルを変更】

Windows Serverのセキュリティポリシーは上位から下位に引き継がれ、セキュリティレベルの高いものが優先されるため、セキュリティレベルを下げるにはDomain全体のセキュリティレベルから下げる必要があります。
  1. [スタート]>[管理ツール]>[グループポリシーの管理]をクリック。
  2. [ドメイン]>[ドメイン名]>[Default Domain Policy]を右クリック。
  3. [編集(E)]をクリック。
  4. [グループポリシー管理エディタ]が表示されます。
  5. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[アカウント ポリシー]>[パスワードポリシー]をクリック。
  6. [パスワードは、複雑さの要件を満たす必要がある]をクリック。
    [このポリシーの設定を定義する(D)]にチェックを入れ、[無効]にチェックを入れてください。
  7. [適用(A)]をクリック>[OK]をクリック。
  8. [パスワードは、複雑さの要件を満たす必要がある]の[ポリシー設定]が無効になっている事を確認してください。

【新規OUにアカウントを作成し、ユーザーを新規作成】

  1. [スタート]>[管理ツール]>[グループポリシーの管理]をクリック。
  2. [ドメイン]>[ドメイン名]>右クリック。
  3. メニューから[新しい組織単位(OU)(N)]をクリック。
  4. [新しい組織単位(OU)]に新しいOU名を入力してください。
  5. 作成したOUを右クリックして、[このドメインにGPOを作成し、このコンテナにリンクする(C)]をクリック。
  6. [新しいGPO]の[名前(n)]に的確なGPO名を入力してください。
    [ソース スターター GPO(S)]は「なし」
  7. [グループ ポリシー管理コンソール]ウインドウが表示されるので[OK]をクリック。
  8. [作成したGPO]を右クリック>[編集]をクリック。
  9. [グループポリシー管理エディタ]が表示されます。
  10. [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[パスワードポリシー]をクリック。
  11. [パスワードは、複雑さの要件を満たす必要がある]をクリック。
  12. [このポリシーの設定を定義する(D)]にチェックを入れ、[無効]にチェックを入れてください。
  13. [適用(A)]をクリック
  14. [パスワードは、複雑さの要件を満たす必要がある]の[ポリシー設定]が無効になっている事を確認してください。
  15. 設定変更を行う前にログオフし、再ログインを実行してください。

■ 参考

Windows Server 2003環境での設定

Windows Server 2003/2003R2のDomain環境のパスワード強度を変更する場合には、以下のエントリーを参考にしてください。
【Windows】2003/2003R2パスワード強度変更(脆弱化)
投稿者 時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)