人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Windows Server 2003のパスワードポリシーで「複雑さを満たす」より厳しいパスワードポリシーを設定する事は可能ですか?
Microsoft or 技術系サイトのURL付きで回答をお願い致します。

●質問者: Genroq
●カテゴリ:コンピュータ
✍キーワード:Microsoft URL Windows Server 2003 サイト パスワード
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● gogg45
●60ポイント

カスタムパスワードフィルタくらいかと思われます。

セキュリティ管理 ‐ 2004 年 12 月 パスフレーズ vs. パスワード 第 3 回 (全 3 回)

http://www.microsoft.com/japan/technet/community/columns/secmgmt...

一意の要件を強制する

おそらくここまででお気づきのように、グループ ポリシーのパスワード ポリシーの設定はあまりフレキシブルではなく、また、優れたパスワードの保証もしていません。たとえば、[コンピュータの構成] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [セキュリティ オプション] で [ネットワーク セキュリティ: 次のパスワードの変更で LAN Manager のハッシュの値を保存しない] を設定しない限り、弱い LM ハッシュが保存されます。さらに、単に複雑性の要件を満たしたからといって、パスワードが推測またはクラックされないというわけではありません。最後に、グループ ポリシーのインターフェースの制限のため、14 文字以上のパスワード長を使用することはできません。

これらの問題を解決する方法はありますが、プログラミングのスキルが必要となります。カスタム パスワード フィルタを書くことでこれらの問題を解決することができます。パスワード フィルタとは、ユーザーがパスワードを変更する際にパスワードのクリアテキスト コピーを受け取る DLL です。そしてそのパスワードを処理し、パスワードが一意のパスワードの要件を満たしていることを確認します。パスワードが辞書に掲載されている単語を使用していないか調べる、8 文字のパスワードの第 8 番目の場所に記号がないか、企業を特定する語などが使用されていないか、等を確認します。チェック可能な要素を制限するのは、どのようにプログラムを書くかと処理速度のみです。たとえば、パスワード フィルタを使用して、管理者がユーザーよりも強力なパスワードを所有しているか確認している組織もあります。

パスワード フィルタの書き方に関する詳細は、このコラムの範囲外ですので、ここでは取り上げません。関連情報については、以下のリソースを参照してください。

?MSDN ライブラリの PasswordChangeNotify、InitializeChangeNotify および PasswordFilter 機能についてのドキュメンテーション (英語)

http://msdn.microsoft.com

?サンプル パスワード フィルタ (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/sample_...

?パスワード フィルタの DLL のインストールおよび登録の方法 (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/install...

?パスワード フィルタのプログラミングに関する考慮点 (英語)

http://msdn.microsoft.com/library/en-us/secmgmt/security/passwor...

パスワード フィルタに関して知っておくべきことがもう 1 点あります。パスワード フィルタは非常に強力ですが、これらはほとんど C/C++ で書かれた文字列処理機能であり、フィルタを含む DLL はドメイン コントローラの LSA プロセスに読み込まれます。この場所にバッファ オーバーフローが起こると大変です。また、プログラムを書く際に注意しないと深刻な危険性の招く恐れがあります。

◎質問者からの返答

まさに求めていた回答です!ありがとうございました。

しかし、理屈で考えればバッファオーバーフローは怖いですね。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ