Windows Server 2003のパスワードポリシーで「複雑さを満たす」より厳しいパスワードポリシーを設定する事は可能ですか?

Microsoft or 技術系サイトのURL付きで回答をお願い致します。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2009/12/22 17:43:08
  • 終了:2009/12/25 17:37:32

回答(1件)

id:gogg45 No.1

gogg45回答回数117ベストアンサー獲得回数182009/12/22 20:16:40

ポイント60pt

カスタムパスワードフィルタくらいかと思われます。

セキュリティ管理 ‐ 2004 年 12 月 パスフレーズ vs. パスワード 第 3 回 (全 3 回)

http://www.microsoft.com/japan/technet/community/columns/secmgmt...

一意の要件を強制する

おそらくここまででお気づきのように、グループ ポリシーのパスワード ポリシーの設定はあまりフレキシブルではなく、また、優れたパスワードの保証もしていません。たとえば、[コンピュータの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション] で [ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない] を設定しない限り、弱い LM ハッシュが保存されます。さらに、単に複雑性の要件を満たしたからといって、パスワードが推測またはクラックされないというわけではありません。最後に、グループ ポリシーのインターフェースの制限のため、14 文字以上のパスワード長を使用することはできません。

これらの問題を解決する方法はありますが、プログラミングのスキルが必要となります。カスタム パスワード フィルタを書くことでこれらの問題を解決することができます。パスワード フィルタとは、ユーザーがパスワードを変更する際にパスワードのクリアテキスト コピーを受け取る DLL です。そしてそのパスワードを処理し、パスワードが一意のパスワードの要件を満たしていることを確認します。パスワードが辞書に掲載されている単語を使用していないか調べる、8 文字のパスワードの第 8 番目の場所に記号がないか、企業を特定する語などが使用されていないか、等を確認します。チェック可能な要素を制限するのは、どのようにプログラムを書くかと処理速度のみです。たとえば、パスワード フィルタを使用して、管理者がユーザーよりも強力なパスワードを所有しているか確認している組織もあります。

パスワード フィルタの書き方に関する詳細は、このコラムの範囲外ですので、ここでは取り上げません。関連情報については、以下のリソースを参照してください。

•MSDN ライブラリの PasswordChangeNotify、InitializeChangeNotify および PasswordFilter 機能についてのドキュメンテーション (英語)

http://msdn.microsoft.com

•サンプル パスワード フィルタ (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/sample_...

•パスワード フィルタの DLL のインストールおよび登録の方法 (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/install...

•パスワード フィルタのプログラミングに関する考慮点 (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/passwor...

パスワード フィルタに関して知っておくべきことがもう 1 点あります。パスワード フィルタは非常に強力ですが、これらはほとんど C/C++ で書かれた文字列処理機能であり、フィルタを含む DLL はドメイン コントローラの LSA プロセスに読み込まれます。この場所にバッファ オーバーフローが起こると大変です。また、プログラムを書く際に注意しないと深刻な危険性の招く恐れがあります。

id:genroq

まさに求めていた回答です!ありがとうございました。

しかし、理屈で考えればバッファオーバーフローは怖いですね。

2009/12/22 20:20:20

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません