アカウントロックアウトポリシーでは、ロックアウトするまでの回数、期間、
カウンタのリセットまでの時間を設定できます。
アカウントロックアウトとは、パスワードを設定回数だけ入力ミスした場合に
ユーザーアカウントを利用できない状態にすることです。
これは、パスワードを力ずく(ブルートフォース アタック)で
探そうとする悪意のあるユーザーの対策に役立ちます。
例えば、銀行のカードなんかもそうですよね。
何回か間違えるとカードが使えなくなります。
銀行の場合は、シビアなのでロックするとカードは再発行となりますが・・・
私、過去一度だけ銀行のカードをロックさせちゃいましたぁ〜
Windows では、アカウントのロックを解除することが可能なので、ご安心を。
で、ロックアウトのポリシーの話に戻しますが、
このポリシーには以下の要素が含まれます。
● アカウントのロックアウトのしきい値
● ロックアウト カウンタのリセット
● ロックアウトの期間
しきい値は、この回数だけ入力ミスするとアカウントがロックアウトします。
例えば、4回と設定した場合、3回までミスが許されます。
4回目でログオンに成功できれば良いのですが、失敗するとロックアウト
するということです。
ちなみに、この値を 0 に設定するとロックアウトしなくなります。
カウンタのリセットは、入力ミスをカウントする時間を分単位で指定します。
ユーザーが失敗した最後のパスワード入力から、この時間を過ぎるとカウンタが
リセットされます。
この時間は、長すぎるとロックアウトし易くなり、短いとロックアウトしにくく
なります。
ユーザーの利便性を損なわず、かつ悪意のあるユーザーへの対策となる
時間を検討する必要があります。
最後にロックアウトの期間です。期間も分単位で設定します。
この期間を過ぎるとロックアウトが自動解除されるので、管理者から
見ると便利です。
しかし、悪意のあるユーザーへの対策が弱くなるという欠点があるため、
この期間も十分検討する必要があります。
ちなみに、この期間を 0分にするとアカウントのロックアウトは
自動解除されなくなります。
ロックアウトを解除するには、管理者が手動で解除する必要があり、
セキュリティが高まります。