パスワードの複雑さとロックアウトの設定の構成

[パスワードの設定]
ページでは、内部資格情報のパスワードの複雑さとロックアウト設定を構成します。これらの設定は内部資格情報にのみ適用されます。Windows アカウントなどの外部で管理されるパスワードには適用されません。これらの複雑さとロックアウト設定は、組織のアクセス制御ポリシーに準拠するためによく必要になります。
Symantec Management Platform のユーザーアカウントに弱いパスワードを作成させないようにするには、パスワードの複雑さに関する適切な要件を指定する必要があります。
パスワードの複雑さに関する設定を変更しても、既存のパスワードは影響を受けません。パスワードの複雑さに関するルールは、パスワードが作成または変更されるときにのみ適用されます。
特定の期間または特定の曜日のログオンだけを許可するような一時的な制限を指定することはできません。適切な時期にアカウントの無効化および有効化を実行する、スケジュールされたタスク、ワークフロー、自動化ポリシーを使用すれば、このようなタイプの制限を設定できます。
内部資格情報のパスワード有効期間を設定することはできません。Windows の資格情報のパスワード有効期間は Windows のポリシーを使って管理してください。
Symantec Management Platform への無断アクセスを防ぐには、パスワードのロックアウトに関する適切な条件を指定する必要があります。パスワードのロックアウトに関する設定の変更は、以降ログオンに失敗するたびに適用されます。最大の許容失敗回数の設定は、以前に失敗したログオンの試行回数に適用されません。
  1. パスワードの複雑さとロックアウトに関する設定を構成するには
  2. Symantec Management Console の
    [設定]
    メニューで、
    [セキュリティ] > [アカウント管理]
    の順に選択します。
  3. 左ペインで、
    [アカウント管理] > [パスワードの設定]
    の順に選択します。
  4. [パスワードの設定]
    ページの
    [パスワードの複雑性]
    タブで、パスワードの複雑性を構成します。
    空白のパスワードを許可
    資格情報に空のパスワードを許可するかどうかを指定できます。この設定を有効にすると、最小のパスワード長は無効になります。
    デフォルトでは、この設定は無効になっています。
    最小パスワード長
    パスワードの最小文字数を指定できます。長さをゼロ(0)に設定する場合は、
    [空白のパスワードを許可]
    設定も有効にする必要があります。
    デフォルト値は 6 です。
    英字以外の文字の最小数
    パスワードの英字以外の最小文字数を指定できます。英字以外の文字は数字(1、2、3 など)と特殊文字(!、?& など)です。
    デフォルト値は 1 です。
    アカウント名を含む
    パスワードにユーザ アカウント名を含めることができるかどうかを指定できます。このパラメータでは大文字と小文字が区別されないので注意してください。
    デフォルトでは、この設定は無効になっています。
  5. [パスワードの設定]
    ページの
    [パスワードのロックアウト]
    タブで、適切なパスワードのロックアウト条件を指定します。
    内部資格情報のロックアウトを有効にする
    指定したログオンの最大失敗回数に到達したときに資格情報をロックするかどうかを指定します。
    デフォルトでは、この設定は有効になっています。
    内部資格情報のロックアウトしきい値
    ユーザが任意の特定の資格情報を使用して試みることができるログオンの最大試行回数を指定します。ユーザーが不正なパスワードを使い、この回数より多く認証を試みると、資格情報は指定されたロックアウト期間ロックされます。
    失敗したログオン試行は、資格情報の作成時からカウントされます。試行の失敗が、何らかの最小期間内に発生しなければならないということはありません。試行に失敗した後、どれだけ長い時間が経過しても、試行の失敗は引き続きカウントされます。
    許可される失敗試行の最大回数を減らすようにこの設定を変更する場合、新しい値は次のログオン試行で初めてすべてのアカウントに適用されます。次の試行に成功すると、カウントはゼロにリセットされます(以前のエラーはすべて消去されます)。ただし、次の試行が失敗すれば、失敗した試行回数が評価されます。最大数に到達する(または最大数をすでに超えている)と、アカウントはロックされます。
    ロックアウト期間
    ロックアウトされた資格情報を使用できない期間を指定します。デフォルトのピリオドは 1800 分(30 時間)です。
    正しい資格情報を提供しても、ユーザーがこの期間に試行するログオンはすべて失敗します。ロックアウト期間が期限切れになると、同じ資格情報が再び有効になります。パスワードの自動リセットは不要です。
    -1 という値を入力すると、無限のロックアウト期間を指定できます。このシナリオでは、管理者が手動で資格情報をロック解除するまで、ロックされた資格情報はロックされたままです。
  6. [変更を保存する]
    をクリックします。