https://www.billionwallet.com > Windows 10 > ローカルグループポリシーエディター(gpedit.msc) > Windowsサインイン時にパスワード入力の失敗回数を制限するユーザーアカウントのロックアウト - Windows 10
Windows 10 サインイン時にパスワード入力の失敗回数を制限するユーザーアカウントのロックアウト
セキュリティの対策の一環として、ユーザーが連続してパスワードの入力に失敗した場合に、アカウントを一定時間にロックアウトする設定について紹介します。外部から不正にWindowsにアクセスしようとして、次々とランダムにパスワードを入力して正しいパスワードを見つけ出すプログラムを使っての攻撃から自分のPCを守る方法として考えられるのがPCへログオン時にパスワード入力に失敗する回数に制限をかける方法があります。
ユーザーアカウントのロックアウトポリシーが設定されている場合、ログインに失敗したら、以下のように参照されたアカウントは現在ロックアウトされているため、ログオンできない可能性がありますとメッセージが表示され、ロックアウトが開始され、指定したロックアウト時間が過ぎるまでログインができなくなります。
例えば、パスワード入力間違いでログインに3回失敗したら、そのユーザーアカウントは無効になり、ロックアウト時間にはログインができなくなります。デフォルト設定は30分間です。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit0.png)
スポンサーリンク
ログオンの失敗回数を設定する
▼ のWindowsセキュリティーオプション画面に出る項目をカスタマイズします。キーを押して、ファイル名を指定して実行を開きます。テキスト入力ボックスに1gpedit.mscと入力し、2ボタンをクリックします。
関連記事
Windows10 Homeでローカルグループポリシーエディター(gpedit.msc)をインストールする方法ローカルグループポリシーエディターウィンドウが表示されましたら、以下のフォルダーまで移動します。
コンピューターの構成 > Windows の設定 > セキュリティの設定 > アカウント ポリシー > アカウントロックアウトのポリシ
アカウントのロックアウトのしきい値
▼ 右ペインに以下の3つの項目があります。まず1アカウントのロックアウトのしきい値項目にてサインインの失敗回数を指定します。それをダブルクリックします。ロックされたアカウントは、リセットするかロックアウト期間ポリシー設定で指定された時間(分単位)が完了するまで再度パスワード入力はできません。
しきい値の適切な数値は、個人と組織の環境によって変わりますが、ブルート フォース攻撃の阻止や、運用効率と安全性の間のバランスをとりながら決めるのがいいのではと思います。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit1.png)
▼ デフォルトの失敗回数は0回です。これはいくらパスワード入力に失敗してもユーザーアカウントはロックされません。今回は連続失敗回数を13回までに制限してみました。設定可能な値は0~999まで指定できます。2またはボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit2.png)
▼ ロックアウト カウンターのリセットとロックアウト期間の1基本設定時間は30分です。ここでロックアウト期間はロックアウト カウンターのリセットの値以上にする必要があります。2ボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit3.png)
▼ 結果、以下のように3回ログインに失敗した場合、1ユーザーアカウントは30分間ロックされるようになります。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit4.png)
ロックアウト カウンターのリセット
ロックアウト カウンターのリセット のポリシー設定は、ユーザーがログオンに失敗した場合、失敗したログオンの試行カウンターが《0》にリセットされるまでに必要な時間(分単位) のことです。
アカウントのロックアウトのしきい値 を《0》より大きい値に設定する場合は、リセット時間をロックアウト期間 の値以下にする必要があります。1設定可能な値は1~99,999(分単位)です。2ボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit5.png)
スポンサーリンク
ロックアウト期間
ロックアウト期間のポリシー設定では、ロックアウトされたユーザーアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定可能な時間は1~99,999です。
ここで注意点としは値が《0》の場合は、管理者アカウントがロックを解除するまでアカウントがずっとロックアウトされたままであることになります。ロックアウト期間はロックアウトカウンターのリセットの値以上にする必要があります。1ユーザーの指定可能な定義時間は1~99,999(分単位)です。2ボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit6.png)
結果、サインイン画面にて連続してログオンに失敗した場合、上記のようにログオンができずにロックアウト期間が完了するまで待機するか、または管理者にロックを解除してもらうしかありません。
ユーザーアカウントのロックアウトを解除する
家族で1台のPCを共有している場合、標準ユーザーの子供がログオンに失敗した場合、親の管理者ユーザーアカウントでロックを解除することを想定してみましょう。 一番簡単な方法としては、以下のようにnet userコマンドラインを実行してロックを解除します。
▼ Windows PowerShellでみますと、ロックされているユーザーアカウントはアカウント有効が1ロックとして表示されます。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit10.png)
関連記事
[Windows 10] net user~コマンドプロンプト(Command Prompt)/Windows PowerShellでユーザーアカウントを管理する▼ Windowsの設定 > アカウント > 家族とそのほかのユーザーからでもロックされているユーザーアカウントは非表示になります。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit11.png)
/active:アカウントを有効か無効に設定する
▼ ユーザーアカウントが無効になったの場合は、active:yesと実行することで、ロックが解除され再びログオン可能な状態に戻ります。
PS C:\WINDOWS\system32>net user Friend /active:yes
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit12.png)
▼ しかし、管理者アカウントがログオン失敗でロックされてしまった場合は、ロックが解除されるまで待つしかありません。標準アカウントでログオンして上記のコマンドラインを実行して管理者アカウントのロック解除をしようとしても、管理者権限が必要になるので、以下のように管理者がロックされている状態では1管理者権限でのログオンが出来ません。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit14.png)
デフォルト設定に戻す
▼ ログオン失敗の回数制限を解除するには、アカウントのロックアウトのしきい値の値を再び《0》に設定することでロックアウトが無効になります。10にし、2またはボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit15.png)
▼ 結果、ロックアウト カウンターのリセットとロックアウト期間の設定時間が1該当なしに変わります。これでログオンに失敗しても回数制限はありません。2ボタンをクリックします。
![[Windows10]サインイン時にパスワード入力の失敗回数を制限する](images1/password-fail-lockout-gpedit16.png)
関連記事
[Windows 10]ローカルグループポリシー(Local Group Policy)スポンサーリンク