要約
Windows 10 2020 年 8 月 18 日にリリースされた更新プログラムでは、次の機能がサポートされます。
-
イベントを監査して、アプリケーションとサービスが 15 文字以上のパスワードをサポートするかどうかを識別します。
-
Windows Server バージョン 2004 ドメイン コントローラー (PC) でのパスワードの最小長 15 文字以上の適用。
サポートされているバージョンの Windows
パスワードの長さの監査は、次のバージョンのアカウントでWindows。 15 文字以上の最小パスワード長の適用は、Windows Server、バージョン 2004、およびそれ以降のバージョンの Windows でサポートされています。
Windows のバージョン |
サポート技術情報 (KB) |
サポート |
Windows 10 バージョン 2004 Windows Server バージョン 2004 |
リリースされたバージョンに含まれる |
強制 監査 |
Windows 10 バージョン 1909 Windows Server バージョン 1909 |
監査 |
|
Windows 10 バージョン 1903 Windows Server バージョン 1903 |
監査 |
|
Windows 10 Version 1809Windowsサーバー バージョン 1809 Windows Server 2019 |
監査 |
|
Windows 10 バージョン 1607 Windows Server 2016 |
監査 |
推奨されるデプロイ
ドメイン コントローラー |
管理ワークステーション |
|
監査: パスワードの使用状況が最小値を下回る監査のみを行う場合は、次のようにデプロイします。 |
監査が必要な場合は、サポートされているすべての NIC に更新プログラムをデプロイします。 |
新しいグループ ポリシー設定のために、サポートされている管理ワークステーションに更新プログラムをデプロイします。 これらのワークステーションを使用して、更新されたグループ ポリシーをデプロイします。 |
適用: パスワードの最小長の適用が必要な場合は、次のようにデプロイします。 |
Windowsサーバー、バージョン 2004 の NIC。 すべての PC は、このバージョン以降のバージョンである必要があります。 追加の更新は必要はありません。 |
バージョン Windows 10 2004 を使用します。 適用のための新しいグループ ポリシー設定は、このバージョンに含まれています。 これらのワークステーションを使用して、更新されたグループ ポリシーをデプロイします。 |
デプロイのガイドライン
最小パスワードの長 さの監査と適用の サポートを追加するには、次の手順に従います。
-
すべてのドメイン コントローラーで、サポートWindowsバージョンに更新プログラムをデプロイします。
-
ドメイン コントローラー: 更新プログラムとそれ以降の更新プログラムでは、14 文字を超えるパスワードを使用するように構成されているユーザーまたはサービス アカウントを認証するために、すべての PC でサポートを有効にします。
-
管理ワークステーション: 更新プログラムを管理ワークステーションに展開して、新しいグループ ポリシー設定をDC に適用できます。
-
-
必要なパスワードが必要なドメインまたはフォレストで 、MinimumPasswordLengthAudit グループ ポリシー設定を有効にします。 このポリシー設定は、ドメイン コントローラーの組織単位 (OU) にリンクされている既定のドメイン コントローラーのポリシーで有効にする必要があります。
-
14 文字を超えるパスワードをサポートしていないすべてのソフトウェアを検出するには、監査ポリシーを 3 ~ 6 か月間有効にすることをお勧めします。
-
パスワードを 3 ~ 6 か月間管理するソフトウェアに対してログに記録された Directory-Services-SAM 16978 イベントのドメインを監視します。 ユーザー アカウントに対してログに記録された Directory-Services-SAM 16978 イベントを監視する必要はありません。
-
可能であれば、パスワードの長さを長く使用するソフトウェアを構成します。
-
ソフトウェア ベンダーと一緒に、より長いパスワードを使用するためにソフトウェアを更新してください。
-
ソフトウェアで使用 されるパスワードの 長さに一致する値を使用して、このアカウントの詳細なパスワード ポリシーをデプロイします。
-
アカウント パスワードを管理するが、長いパスワードを自動的に使用しないソフトウェアで、長いパスワードを使用するように構成できない場合は 、これらのアカウントに対してきめ細かいパスワード ポリシーを使用できます。
-
-
すべての Directory-Services-SAM 16978 イベントに対処した後、最小パスワードを有効にしてください。 これを行うには、次の手順を実行します。
-
すべての DCS (Windows DC を含む) に対する適用をサポートする Read-Only Server のバージョンをデプロイします。
-
すべての DC で RelaxMinimumPasswordLengthLimits グループ ポリシーを有効にする。
-
すべての PC で MinimumPasswordLength グループ ポリシーを構成します。
-
グループ ポリシー
ポリシー パスと設定名、サポートされているバージョン |
説明 |
ポリシー パス: コンピューターの構成 > Windows 設定 > セキュリティ 設定 > アカウント ポリシー -> パスワード ポリシー -> 最小パスワード長監査 設定名: MinimumPasswordLengthAudit次の場合にサポートされます。
再起動は必要ありません |
パスワードの最小長の監査 このセキュリティ設定は、パスワードの長さ監査警告イベントが発行される最小パスワード長を決定します。 この設定は、1 から 128 まで構成できます。 この設定を有効にして構成する必要があるのは、環境でパスワードの最小長設定を増やした場合の潜在的な影響を特定する場合のみです。 この設定が定義されていない場合、監査イベントは発行されません。 この設定が定義され、パスワードの最小長の設定以下の場合、監査イベントは発行されません。 この設定が定義され、パスワードの最小長の設定よりも長く、新しいアカウント パスワードの長さがこの設定より短い場合は、監査イベントが発行されます。 |
ポリシー パスと設定名、サポートされているバージョン |
説明 |
ポリシー パス: コンピューターの構成 > Windows 設定 > セキュリティ 設定 > アカウント ポリシー -> パスワード ポリシー ->パスワードの最小長制限を緩くする 設定名 : RelaxMinimumPasswordLengthLimits次の場合にサポートされます。
再起動は必要ありません |
パスワードの最小長のレガシ制限を緩くする この設定は、パスワードの最小長の設定を従来の制限である 14 を超えて増やできるかどうかを制御します。 この設定が定義されていない場合は、パスワードの最小長を 14 以下に構成できます。 この設定を定義して無効にした場合、パスワードの最小長は 14 以下に構成できます。 この設定が定義され、有効になっている場合、パスワードの最小長は 14 を超える構成が可能です。 詳細については、 を参照https://go.microsoft.com/fwlink/?LinkId=2097191。 |
ポリシー パスと設定名、サポートされているバージョン |
説明 |
ポリシー パス: コンピューターの構成 > Windows 設定 > セキュリティ 設定 > アカウント ポリシー -> パスワード ポリシー ->最小パスワード長 設定名: MinimumPasswordLength次の場合にサポートされます。
再起動は必要ありません |
このセキュリティ設定により、ユーザー アカウントのパスワードに含まれる文字の最小数が決定されます。 この設定の最大値は、[パスワードの最小長制限を緩くする] 設定の値によって異なります。 [パスワードの最小長制限を緩くする] 設定が定義されていない場合、この設定は 0 から 14 に構成できます。 [最小パスワードの長さの制限を緩くする] 設定が定義および無効になっている場合、この設定は 0 から 14 に構成できます。 [パスワードの最小長制限を緩くする] 設定が定義され、有効になっている場合は、この設定を 0 から 128 に構成できます。 必要な文字数を 0 に設定すると、パスワードは必要ありません。 注意 既定では、メンバー コンピューターはドメイン コントローラーの構成に従います。 既定値:
この設定を 14 より大きく構成すると、クライアント、サービス、アプリケーションとの互換性に影響する可能性があります。 新しい設定で潜在的な非互換性をテストするには、[最小パスワードの長さの監査] 設定を使用した後にのみ、この設定を 14 より大きく構成することをお勧めします。 |
Windows ログ メッセージを作成する
この追加サポートの一環として、3 つの新しいイベント ID ログ メッセージが含まれています。
イベント ID 16977
MinimumPasswordLength、RelaxMinimumPasswordLengthLimits、 または MinimumPasswordLengthAuditポリシー設定がグループ ポリシーで最初に構成または変更された場合、イベント ID 16977 がログに記録されます。 このイベントは、NIC にのみログ記録されます。 RelaxMinimumPasswordLengthLimitsの値は、Windows Server、バージョン 2004 以降のバージョンの PC にのみ記録されます。
イベント ログ |
システム |
イベント ソース |
Directory-Services-SAM |
イベント ID |
16977 |
レベル |
Information |
イベント メッセージのテキスト |
ドメインは、パスワードの最小長に関連する次の設定を使用して構成されます。 MinimumPasswordLength: RelaxMinimumPasswordLengthLimits: MinimumPasswordLengthAudit:詳細については、 を参照https://go.microsoft.com/fwlink/?LinkId=2097191。 |
イベント ID 16978
アカウント パスワードが変更され、パスワードが現在の MinimumPasswordLengthAudit 設定よりも短い場合、イベント ID 16978 が記録されます。
イベント ログ |
システム |
イベント ソース |
Directory-Services-SAM |
イベント ID |
16978 |
レベル |
Information |
イベント メッセージのテキスト |
次のアカウントは、現在の MinimumPasswordLengthAudit 設定よりも長さが短いパスワードを使用するように構成されています。 AccountName: MinimumPasswordLength: MinimumPasswordLengthAudit:詳細については、 を参照https://go.microsoft.com/fwlink/?LinkId=2097191。 |
イベント ID 16979 の適用
監査グループ ポリシーの設定が正しく構成されていない場合、イベント ID 16979 がログに記録されます。 このイベントは、NIC にのみログ記録されます。 RelaxMinimumPasswordLengthLimitsの値は、Windows Server、バージョン 2004 以降のバージョンの PC にのみ記録されます。 これは、エンフォースメント用です。
イベント ログ |
システム |
イベント ソース |
Directory-Services-SAM |
イベント ID |
16979 |
レベル |
エラー |
イベント メッセージのテキスト |
ドメインが MinimumPasswordLength 設定が 14 より大きいと正しく構成されていないのに対し 、RelaxMinimumPasswordLengthLimits は未定義または無効です。 注意 これが修正されるまで、ドメインは 14 の小さい MinimumPasswordLength 設定を適用します。 現在構成されている MinimumPasswordLength 値:詳細については、 を参照https://go.microsoft.com/fwlink/?LinkId=2097191。 |
イベント ID 16979 監査
監査グループ ポリシーの設定が正しく構成されていない場合、イベント ID 16979 がログに記録されます。 このイベントは、NIC にのみログ記録されます。 この追加のサポートの一環として、監査に新しいイベント ログ メッセージが 1 つ含まれています。
イベント ログ |
システム |
イベント ソース |
Directory-Services-SAM |
イベント ID |
16979 |
レベル |
エラー |
イベント メッセージのテキスト |
ドメインが 14 より大きい MinimumPasswordLength 設定で正しく構成されていません。 注意 これが修正されるまで、ドメインは14のより小さいMinimumPasswordLength設定を適用します。 現在構成 されている MinimumPasswordLength 値: 詳細については 、「https://go.microsoft.com/fwlink/?LinkId=2097191」を参照してください。 |
ソフトウェア パスワードの変更に関するガイダンス
ソフトウェアでパスワードを設定する場合は、パスワードの最大長を使用します。
履歴
Microsoft のセキュリティ戦略全体では、パスワードを使用できない将来にしっかりと重点を置きますが、多くのお客様は、短期的から中規模の期間、パスワードから移行することはできません。 一部のセキュリティに配慮したお客様は、14 文字を超える既定のドメイン最小パスワード長設定を構成したいと考えています (たとえば、従来の短い単一のトークン パスワードではなく、より長いパスフレーズを使用するようユーザーに教育した後に行う場合があります)。 この要求をサポートするために、Windows Server 2016 の 2018 年 4 月の Windows 更新プログラムでは、パスワードの最小長を 14 文字から 20 文字に増やすグループ ポリシーの変更が有効になっています。 この変更は長いパスワードをサポートしている場合に見えましたが、最終的には不十分であり、グループ ポリシーの適用時に新しい値が拒否されました。 これらの拒否はサイレントであり、システムが長いパスワードをサポートしていないかどうかを判断するために詳細なテストが必要でした。 Windows Server 2016 と Windows Server 2019 の両方に Security Account Manager (SAM) レイヤーのフォローアップ更新プログラムが含まれており、システムが最小パスワード長が 14 文字を超えるエンドツーエンドで正しく動作するようにしました。 Windows Server 2016 と Windows Server 2019 の両方に Security Account Manager (SAM) レイヤーのフォローアップ更新プログラムが含まれており、システムが最小パスワード長が 14 文字を超えるエンドツーエンドで正しく動作するようにしました。
MinimumPasswordLengthポリシー設定では、すべての Microsoft プラットフォームで非常に長い間 (何十年も) 0 から 14 の範囲を使用できます。 この設定は、ローカル のセキュリティ設定Windows Active Directory (およびそれより前の NT4 ドメイン) の両方に適用されます。 値 0 (0) は、どのアカウントにもパスワードは必要ありません。
以前のバージョンの Windowsグループ ポリシー UI では、14 文字を超える最小パスワード長の設定が有効でなくなりました。 ただし、2018 年 4 月に、次のような更新の一環として、グループ ポリシー UI で 14 文字を超えるサポートを追加した Windows 10 更新プログラムをリリースしました。
-
KB 4093120: 2018 年 4 月 17 日 — KB4093120 (OS ビルド 14393.2214)
この更新プログラムには、次のリリース ノート テキストが含まれていました。
"グループ ポリシーの最小パスワード長を 20 文字に増やします。"
2018 年 4 月のリリースをインストールし、更新プログラムに取ってかわるお客様の中には、14 文字を超えるパスワードをまだ使用できないという問題がありました。 調査により、パスワード ポリシーで定義された 14 文字を超えるパスワードを提供する DC ロール コンピューターに追加の更新プログラムをインストールする必要があるという点が確認されました。 次の更新プログラムでは、Windows Server 2016、Windows 10、バージョン 1607、および 14 文字を超えるパスワードを使用したサービス ログオンと認証要求に対する Windows 10 ドメイン コントローラーの初回リリースが有効になっています。
-
KB 4467684: 2018 年 11 月 27 日 — KB4467684 (OS ビルド 14393.2639)
この更新プログラムには、次のリリース ノート テキストが含まれていました。
"パスワードの最小長が 14 文字より長く構成されている場合に、ドメイン コントローラーがグループ ポリシーのパスワード ポリシーを適用できる問題に対応します。"
-
KB 4471327: 2018 年 12 月 11 日— KB4471321 (OS ビルド 14393.2665)
一部のお客様は、2018 年 4 月から 2018 年 10 月の更新プログラムをインストールした後、ポリシーで 14 文字を超えるパスワードを定義しました。この更新プログラムは、基本的に 2018 年 11 月と 2018 年 12 月の更新プログラムまで休止状態のままでした。または、ポリシーで 14 文字を超えるパスワードをサービスに提供するネイティブ OS 対応ドメイン コントローラーにより、機能有効化とポリシー アプリケーション間の時間/原因リンクが削除されます。 グループ ポリシーとドメイン コントローラーの更新プログラムを同時にインストールしたかどうかに関して、次のような副作用が発生する可能性があります。
-
現在、14 文字を超えるパスワードと互換性のないアプリケーションで公開されている問題。
-
リリース バージョンの Windows Server 2019 で構成されるドメイン、または 14 文字を超えるパスワードと 14 文字を超えるパスワードをサポートする更新された 2016 年 2016 年の PC と、14 文字を超えるパスワードをサポートしていない Windows Server 2016 より前のドメイン (バックポートが存在し、Windows Server 2016 用にインストールされるまで) で発生する問題が公開されます。
-
KB4467684をインストールした後、グループ ポリシー "最小パスワードの長さ" が 14 文字より長く構成されている場合、クラスター サービスは"2245 (NERR_PasswordTooShort)" というエラーで開始に失敗することがあります。
この既知の問題のガイダンスは、ドメインの既定の "最小パスワードの長さ" ポリシーを 14 文字以下に設定する方法でした。 Microsoft では現在この問題の解決に取り組んでおり、今後のリリースで更新プログラムを提供する予定です。
以前の問題により、2019 年 1 月の更新プログラムでは、14 文字を超えるパスワードに対する DC 側のサポートが削除され、この機能を使用できません。