質問
アカウントロックアウトを逆手に取ったサービス拒否攻撃の問題があるため、よほどのセキュリティ要件がない限りはアカウントロックアウトは推奨されていません。
http://www.microsoft.com/japan/technet/community/columns/secmgmt/sm1204.mspx
それよりもパスフレーズの難易度を高めに設定するほうが効果的だと思われます。
管理部門にこの資料を見せて説得してみてはいかがでしょうか。
本当は
ロックアウト→管理者にアラートメール→30分で自動的にロック解除
みたいになるといいんですけどね。
私のところではロックアウト制限を設けていません
それどころか年に2回行うパスワードの一斉変更でも(自分で決めたパスワードなのに)「パスワードを忘れた」「何をいれても受け付けてくれない」の嵐になります。 ロックアウト設定をしたら情シス員はサーバのパスワードリセットの為に休日も出勤しないといけなくなってしまいそうです。
私の知っている別の会社では5回にしているそうですが、
日々、ロックアウト解除依頼がある状態です。
誰からの依頼が多いか統計を取って多い人はイエロー/レッドカードを渡しちゃいましょう。その会社は解除依頼を1年以内に5回すると「6回目は1週間対応しない」というルールだそうです。解除依頼が多いのはその人がしっかり管理していなくてウロ覚えで入れたり、性格的に”いい加減”ということで厳しい事にしたそうです。
こんにちは
弊社では5回に設定しています。カウンタのリセットは60分です。
パスワードは年2回、各自の決めたものに変更していますが、
ロックアウトの解除は2ヶ月に1回あるかないかと言ったところです。
CapsLockでの間違いは確かに多いですが、5回間違える人が
10〜15回の間に間違いに気付くでしょうかねぇ・・・
ロックアウト解除依頼がPWリセット依頼に置き換わるだけの様な
気もしますが。
私の勤務している会社(日系の会社)ではロックアウトはActive Directoryのデフォルトの3回に設定しています。そしてパスワードの変更は30日に設定しています。以前、私は外資系企業に勤務していましたので、当時の規定を参考にして設定しました。パスワードのロックアットしてしまうユーザは月平均で全ユーザ170人中で3〜5人前後です。5年半前まではパスワードの設定を一切していない会社だったのですが、個人情報保護法遵守するため、そして得意先である大手企業から”個人情報保護法を遵守していない会社とは取引は止める”と言われたことなどから、現在のパスワードの変更日数の設定、ロックアウトを開始しました。
質問
こんにちは。
WindowsのActive Directoryでユーザーのログインアカウントの
パスワード間違いのロックアウトまでの回数を決めることができ
ると思いますが、みなさんの企業では何回程度にされていますか?
もしくは設定しないですか?
今の会社に移って知ったのですが、5回間違えただけでロックアウ
トするとのこと。
日々、ロックアウト解除依頼がある状態です。
前の会社では、ロックアウト制限を設けていなかったので、ロック
アウトがあるのは確かに大切かも、と思うのですが、5回ってのは
ちょっと厳しすぎじゃないか?と思っています。
本人のCAPSロックによるパスワード間違いって多いですよね?
ロックアウト制限をかけるにも10〜15回くらいでいいんじゃないだ
ろうか、と思うのですが、参考までご意見をいただけないでしょうか?
同僚は第三者に対する情報漏洩に注意しなければいけない、といって
いますが、セキュリティカードがないと入れないオフィス、社内に悪
意をもったユーザーがいたとして、5回が10回に増えたところでそこ
までセキュリティレベルが下がるものだろうか?と思っています。
PCにログインするためだけならドメコンと通信できないようにすれば
ロックアウトできないし...
ロックアウトが10回に増えるだけで、ロックアウト解除作業、相当減
ると思うんですが。。。
まだ会社を移って時間もなく、しっくりきていない日々を送っていま
す。
ご意見よろしくお願いします。