ブルートフォース攻撃対策の1つとして、PCロックアウト設定があります。
設定を行うことで、一定回数パスワードを間違えるとPCをロック状態にすることができます。
本記事では、PCロックアウトをグループポリシーで設定する方法と、設定後の実際の挙動について記載します。
PCロックアウトとは
PCロックアウトとは、ユーザーが誤ったパスワードを何度も入力したり、システムのセキュリティ設定によってPCがロックされたりすることで、アクセスできなくなる状態を指します。
無数にパスワード入力を試みることができないため、ブルートフォース攻撃対策に適した設定となります。
設定箇所
設定箇所は以下となります。
- パス
- コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>セキュリティのオプション
- ポリシー名
- 対話型ログオン:コンピューターアカウントのロックアウトのしきい値
- 設定値
- このポリシーの設定を定義する:チェックを入れる
- ここにチェックが入っていても、次の「無効なログオン」が0もしくは未入力の場合、設定は適用されない
- 無効なログオン:しきい値を4~999の範囲で入力
- 1~3を入力した場合、4と解釈される
- このポリシーの設定を定義する:チェックを入れる
※端末側はBitLockerが有効になっている必要があります。
設定後の動作
しきい値を「20回」に設定してパスワードを間違えた場合の動作結果を以下に記載します。
※Windows 10の画面となります。
※Windows Hello for BusinessのPINも同様の動作となります。
1~5回目
特に変化はありません。
6回目以降
「ようこそ」画面が長くなります。
18回目
警告がロック画面に表示されます。
20回目(しきい値)
強制的に再起動が行われ、BitLocker回復キーの入力画面になります。(ロックアウト状態)
キーを入力することでOSが起動し、パスワード入力画面が表示されます。
まとめ
本記事では、グループポリシーでPCロックアウトを設定する方法について記載しました。
ぜひ参考にしてみてください。
