検索
連載
その知識、ホントに正しい? Windowsにまつわる都市伝説(140):

Windows 10の「パスワード期限切れポリシー」は廃止なんかされていない!

2019年6月初め、Windows 10で「パスワードの期限切れポリシー」が廃止されたというニュースメディアの記事を見ました。「そもそも、そんな名前のポリシーあったっけ?」と一瞬思いましたが、記事の内容を読んで、どういうことかすぐに了解しました。問題は“記事のタイトルだけ”だったのです。この記事のタイトルでは、多くの読者に誤解を与えてしまうと思います。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
「Windowsにまつわる都市伝説」のインデックス

Windowsにまつわる都市伝説

ポリシーの廃止ではなく、セキュリティベースラインからの削除

 問題のタイトルの記事は、2019年5月後半に公開された以下のMicrosoft公式ブログ記事の「Dropping the password expiration policies」部分をソースとした、海外ニュース記事の翻訳でした。

 その記事のタイトルは置いておいて、内容はオリジナルのブログをそのまま翻訳したもので、決して間違ったものではありませんでした。Windows 10の「セキュリティベースライン」(Microsoftのドキュメントを含め、日本語では「セキュリティ基本計画」と表現されることがあります)から「パスワード期限切れポリシー」が削除されたことの意義と、もはや価値を失った「パスワードの定期的な変更」に代わるセキュリティ向上策について解説したものでした。

 オリジナル(英語)の記事ではそこまで言及されていませんでしたが、正確にはWindows 10 バージョン1903およびWindows Server, version 1903(半期チャネル、Server Coreのみ)のセキュリティベースラインからの削除です。

 また、「パスワード期限切れポリシー」という名前のポリシーは存在しません。実際にあるのは「パスワードの有効期間」ポリシーですが、「パスワードの有効期間」の日数を超えることは「パスワード期限切れ」ということですから、これは単に“表現の違い”です。

 最近は翻訳記事を中心に、オリジナルの記事内容とはズレたタイトル付けを目にすることが多くなりました。 それは編集者の知識不足に起因する場合もあるでしょうし、ビュー数を稼ぐために意図的な場合もあるでしょう。しかし、昨今はSNSなどでタイトルだけが拡散されてしまうため、記事内容と一致しないタイトルは誤解を広げてしまうことにつながります。

Windowsの既定では「パスワードの有効期間」は「42日」で切れます

 セキュリティベースラインについては後で説明しますが、そもそも2019年5月後半のMicrosoftの発表では、Windows 10 バージョン1903やWindows Server, version 1903で「パスワードの有効期間」ポリシーが削除されるとか、Windowsの既定値が変更されたとかということは、全く触れられていません。

 実際にローカルユーザーを作成して確認すると分かりますが、Windows 10 バージョン1903の「パスワードの有効期間」ポリシーの既定値は以前のバージョンと同じく「42日」で、有効期間が切れれば、パスワードの変更が求められます(画面1画面2)。

画面1
画面1 Windows 10 バージョン1903でも「パスワードの有効期間」ポリシーの既定値は「42日」で変わらない
画面2
画面2 「パスワードの有効期間」が切れると(パスワードが無制限でない場合)、変更を求められることも変わらない

 また、以前のバージョンと同じく、「パスワードの有効期間」ポリシーで有効期間をカスタマイズし、より長く(または短く)することもできますし、ローカルまたはドメインユーザーの作成時に「パスワードを無制限にする」を明示的に指定することで、期限が切れないようにすることもできます(画面3)。

画面3
画面3 「パスワードを無制限にする」を明示的にチェックしない限り、設定したパスワードには「パスワードの有効期間」ポリシーの対象になる

 ユーザーの作成時には「ユーザーは次回ログオン時にパスワードの変更が必要」に既定でチェックが入っていることも変わりません。「パスワードの有効期間」ポリシーが「42日」であることは、Windows Server, version 1903も同じです(画面4)。なお、Windows 10のセットアップ時に作成したローカルアカウントやMicrosoftアカウントがひも付くローカルアカウントは、「パスワードを無制限にする」でセットアップされます。

画面4
画面4  Windows Server, version 1903でもローカルアカウントのパスワードの既定の有効期間は「42日間」(注:「アカウントの期限」はパスワードの有効期間とは無関係)

最新のベースラインで「パスワードの有効期間」が評価対象から外れたということ

 ここまでの話で、Windows 10 バージョン1903やWindows Server, version 1903からポリシーが削除されたわけでもなく、既定値が変更されたわけでもないことが分かっていただけたと思います。

 では、何が廃止され、何から削除されたというのでしょうか。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る