当社では、コンプライアンスに基づき、内部点検を一般職も、管理職も年一回実施しているが、昨日当グループで、既に各自をチェックした項目に付き△(つまり不十分)と×(できていない)について、理由を説明しながら、対策を行なう会議を行なっていたが、セキュリティの関係で、Windowsログイン時のパスワードを定期的に変更する事になっていたが、実際これは殆ど出来ていない為、わたしが、×とした。
結果、会議では、簡単に、4半期毎(つまり決算と合わせて)に、皆にパスワード変更を昼礼等で依頼する対策とした。
が当初から私は、システム側で、定期的に警告を出せないかと、考えていた。そうしないと、絶対変更しないだろうと、予測できていたからである。 当部でもっともこれをしなければならない肝心の私自身がそうなのだから・・・。従って、Windowsのシステムの標準機能で出来れば、ログイン時に警告を発し、変更しないとログインできなくする事が出来ないか、調査した。
理由は既に、社外に持ち出ししているノート型パソコンは暗号化処理ができており、このパスワードは3ヶ月毎に、変更しないとOSも起動できない事になって、みなそれを運用できている為、強制的にシステムで設定できるようにしないと無理だと考えたからである。
さて、ネットを検索してもセキュリティ上、パスワードは定期的に変更しましょうのオンパレードで、目的のものがなかなか見つからなかった。それは当たり前だが、それができるくらいなら皆やっている。まったくネットに無駄な情報を流す物だと思いながら、更に色々なキーワードを変更して探した。
結果下記のURLで、トラブルに関する質問から、逆に当初の目的のものを設定する方法事が分かった。 http://okwave.jp/qa554665.html 『起動時パスワード変更を促すメッセージが』と言う質問で、要は今日PCを立ち上げると 「パスワードの有効期限が14日で切れます。パスワードを変更しますか」というメッセージが出ました。』との事。
この質問に対する回答がなかなか秀逸であり、回答者はdeadlineさんと言う事らしいが、この内容を元に、逆の事を行う事で、簡単に目的の警告メッセージを部員の端末に表示させる事、パスワードの変更しないとログインできないようにする事がわかり、自分でWindows XPで実証できた。
後は、これを何時実行に移すかのみである。
deadlineさんの回答に感謝すると共に、その回答から、設定方法を、以下に掲載しておきます。
----------------------------------------------
1)パスワードが無期限になっているか確認して、もしパスワードが無期限であれば、パスワード無期限を外す。
元IT担当者は、なぜかパスワードを無期限で設定していた。
なお、Windows 2000もXPも初期設定では、『パスワードの有効期間』が42日で、14日前から変更を促すメッセージが出るようになっている。
パスワードの無期限を外すには、『コンピュータの管理』(2000とXPでメニュー周りが異なる) ->コンピュータの管理(ローカル) -> システムツール -> ローカルユーザーとグループ -> ユーザー と辿り、『ユーザー』の右側のウィンドウに表示されたユーザーアカウントの一覧から自分のログインアカウントをダブルクリック(または右クリック⇒『プロパティ』)⇒『全般』タブの 『□パスワードを無期限にする』のチェックを外します。
2)パスワードの有効期限や警告メッセージの表示期間を変更する
・パスワードの有効期限を変更するには [スタート]⇒「ファイル名を指定して実行」に"gpedit.msc"と入力して、[OK]をクリックし、 『グループポリシー』ウィザードを起動。 ローカルコンピュータポリシー ->コンピュータの構成 ->Windowsの設定 ->セキュリティの設定 ->アカウントポリシー ->パスワードのポリシーと辿って、『パスワードのポリシー』の『パスワードの有効期間(デフォルト値:42日)』でその期間を変更する。
・警告メッセージが表示される時期の変更は、上記同様に
->ローカルコンピュータポリシー ->コンピュータの構成 ->Windowsの設定 ->セキュリティの設定 ->ローカルポリシー ->セキュリティポリシーと辿り、『セキュリティポリシー』のパスワードが無効になる前にユーザーに変更を促す設定値 14日を変更する。
----------------------------------------------
※コメント投稿者のブログIDはブログ作成者のみに通知されます