【Intune】Windows PCへのサインインロックを行う ~ブルートフォース（Brute-force attack）攻撃に備える~

ブルートフォース攻撃とは、想定されるパスワードを総当りで力づくで認証を突破を試みる攻撃手法です。多要素認証を設定するなど様々な方法で対策はできますが、今回はアカウントロックで防ぐ方法を紹介します！

Windowsアカウントロックとは

Windowsアカウントロックとは、ログイン認証に一定回数失敗するとアカウントがロックされてサインインができなくなる機能のことです。アカウントロックを使用するためには、BitLockerの設定も必要です。アカウントロックの仕組みとして、認証に何度も失敗した場合にBitLockerキーの入力を求めるためです。ロックがかかった場合には、BitLockerの回復キーを入力することで、アカウントロックを解除することができます。

Windowsアカウントロックの問題2点

Windowsのアカウントロック（パスワードを複数回間違えた際に一定時間ログインできないようロックする機能）は、ユーザー自身で設定することができます。

適切に設定されていればよいですが、自分自身で設定する際には、問題点が2点あります。

1点目は、アカウントロックが適切に設定されてない場合があるです。アカウントロック設定を行っても、管理者側が求める数値に達していない場合があります。

2点目は、アカウントロックルールの設定そのものが難しいです。全ての設定はGUIから行えるものの、ユーザーが普段見慣れない画面から操作する必要があります。慣れない操作は、時間がかかりますしコストにも繋がります。

Windowsアカウントロックの問題の解消方法

ユーザーが自分自身で設定する場合の問題点をなくす方法があります。それは、管理者側で全ユーザーに一律で同じ設定をすることです。Intuneを用いることで、管理者側で全ユーザーのWindowsのアカウントロックを一律で設定することができます。こうすることで、ユーザー自身で設定をした場合のアカウントロックの閾値の問題とアカウントロックルールの設定する時間とコストの問題を解消できます。以下では、全ユーザーに一律でWindowsのアカウントロックを設定する方法を紹介しています。

全ユーザーに一律でWindowsのアカウントロックを設定する方法

Intuneにログインし、構成プロファイルのデバイス制限を設定することで全ユーザーに一律でWindowsのアカウントロックを設定することができます。以下に具体的な手順を示します。

前提として、Windows PCにBitLocker回復キーを設定しておく必要があります。

Windowsのアカウントロックを設定する

①Intuneにログインする

②「ホーム」>>「デバイス」>>「構成」>>「+作成」>>「+新しいポリシー」の順に進む

③プラットフォームは、「Windows １０ 以降」を選択

④プロファイルの種類は、「テンプレート」>>「デバイスの制限」を選択

⑤「名前」の入力を行い、「次へ」をクリックする

⑥「↓ パスワード」を開き、パスワードを「構成されていません」から「必要」にする

⑦「デバイスがワイプされるまでのサインイン失敗回数」を4~16の範囲内で設定する

デバイスがワイプされるまでのサインイン失敗回数を設定した範囲を超えた場合

BitLocker回復キーを要求されます。BitLocker回復キーを入力すると、通常通りのサインイン画面へ戻ることができます。

お問い合わせは下記から✨

Windowsのアカウントロックをはじめ、情シスに関するお悩みの相談も承っております。少しでも興味をお持ちいただいた方は下記からお気軽にご連絡ください！