誰かがパスワードを推測しようとした場合に一時的にPCをロックする方法
誰かがあなたのWindowsパスワードを推測しようとしているのではないかと心配している場合は、Windowsが特定の回数失敗した後に一時的にサインインの試みをブロックすることができます。.
自動的にサインインするようにWindowsを設定していないと仮定すると、Windowsはサインイン画面でローカルユーザーアカウントに対して無制限のパスワード試行を許可します。パスワードを覚えていない場合は便利ですが、PCに物理的にアクセスできる他の人にも無制限に侵入を試みることができます。ローカルユーザーアカウントを使用している場合は、失敗した試行が数回失敗した後に一時的にサインインの試行を一時停止することで、不用意な侵入の防止に少なくとも役立ちます。これを設定する方法は次のとおりです。.
始める前にいくつかの簡単なメモ。この設定を使用すると、パスワードを誤って数回入力してしばらくの間あなたをPCからロックアウトすることによって、誰かがあなたをいたずらさせる可能性があります。通常のアカウントのロックを解除できる別の管理者アカウントを持つことが賢明です。.
また、これらの設定はローカルユーザーアカウントにのみ適用され、Microsoftアカウントを使用してWindows 8または10にサインオンした場合は機能しません。ロックアウト設定を使用する場合は、まず自分のMicrosoftアカウントをローカルのアカウントに戻す必要があります。 Microsoftアカウントを使い続けたい場合は、セキュリティ設定ページにアクセスしてログインできます。そこで、2段階認証プロセスの追加、信頼できるデバイスの設定などを変更できます。残念ながら、ここで取り上げているローカルアカウントのように機能するMicrosoftアカウントのロックアウト設定はありません。ただし、これらの設定は、Windows 7、8、および10のローカルユーザーアカウントに対しては正常に機能します。.
ホームユーザー:コマンドプロンプトでサインイン制限を設定する
WindowsのHomeエディションを使用している場合は、コマンドプロンプトを使用してサインインの試行回数を制限する必要があります。 ProまたはEnterpriseエディションのWindowsを使用している場合は、この方法で制限を設定することもできますが、これらのエディションのいずれかを使用している場合は、ローカルグループポリシーエディタを使用してはるかに簡単に制限できます。記事上で).
以下の指示をすべて完了する必要があります。そうしないと、自分自身を完全にロックアウトする可能性があります。.
開始するには、管理者権限でコマンドプロンプトを開く必要があります。 [スタート]メニューを右クリックして(またはキーボードのWindows + Xキーを押して)[パワーユーザー]メニューを開き、[コマンドプロンプト(管理者)]をクリックします。
注意:Power UsersメニューにCommand Promptの代わりにPowerShellが表示されている場合は、Creators Update for Windows 10で発生したスイッチです。必要に応じてPower UsersメニューにCommand Promptを表示するように切り替えるのは簡単です。 PowerShellを試してみることができます。 PowerShellでは、コマンドプロンプトでできることのほとんどすべてに加えて、他にも多くの便利なことを実行できます。.
プロンプトで次のコマンドを入力し、Enterキーを押します。
ネットアカウント
このコマンドは現在のパスワードポリシーを一覧表示します。デフォルトでは「ロックアウトしきい値:なし」になっています。,」 パスワードが何回間違って入力されても、あなたのアカウントはあなたを締め出しません。.
まず、ロックアウトしきい値を、サインインが一時的にロックされる前に許可したい失敗したサインインの試行回数に設定することから始めます。この数は好きなように設定できますが、少なくとも3つに設定することをお勧めします。このようにして、あなたは自分自身をロックアウトする前に誤ったパスワードを1、2回誤って入力する余地があります。次のコマンドを入力して、最後にある数字を、許可したいパスワード試行の失敗回数に置き換えます。.
ネットアカウント/ロックアウトしきい値:3
これで、ロックアウト期間を設定します。この数値は、パスワード試行失敗のしきい値に達した場合にアカウントがロックアウトされる時間を分単位で指定します。 30分をお勧めしますが、ここでは好きなように設定できます。.
ネットアカウント/ロックアウト期間:30
そして最後に、ロックアウトウィンドウを設定します。この数値は、実際のロックアウトしきい値に達していないと仮定して、失敗したパスワード試行のカウンターがリセットされるまでの時間を分単位で指定します。たとえば、ロックアウト期間が30分で、ロックアウトしきい値が3回の試行であるとします。不正なパスワードを2回入力し、最後に不正なパスワードが入力されてから30分待ってからさらに3回入力することもできます。次のコマンドを使用してロックアウトウィンドウを設定し、最後の数字を使用したい分数に置き換えます。繰り返しになりますが、30分が良い時間だと思います.
ネットアカウント/ロックアウトウィンドウ:30
完了したら、もう一度net accountsコマンドを使用して設定を確認できます。選択した内容に応じて、以下の設定のようになります。.
これで準備が整いました。パスワードを誤って何度も入力した場合、あなたのアカウントは自動的に他人がログインするのを防ぎます。設定を変更または削除したい場合は、必要な新しいオプションを使用して手順を繰り返してください。.
そしてこれが実際にどのように機能するかです。サインイン画面では、ロックアウトのしきい値が設定されていることや、何回試行したかがわかりません。しきい値を満たすのに十分なパスワード試行失敗回数を入力するまで、すべてが正しく表示されます。その時点で、あなたは以下のメッセージを与えられるでしょう。また、アカウントがロックアウトされている期間についての表示はありません。.
この設定をオフにしたい場合は、管理コマンドプロンプトに戻って、次のコマンドを使用してアカウントのしきい値を0に設定するだけです。.
ネットアカウント/ロックアウトしきい値:0
他の2つの設定について心配する必要はありません。ロックアウトしきい値を0に設定すると、ロックアウト期間とロックアウトウィンドウ設定は適用できなくなります。.
ProユーザーとEnterpriseユーザー:ローカルグループポリシーエディターでサインイン制限を設定する
ProまたはEnterpriseエディションを使用している場合、サインイン制限を設定する最も簡単な方法はローカルグループポリシーエディタを使用することです。ただし、重要な注意点:PCが会社のネットワークの一部である場合、サインイン制限を管理するグループポリシー設定は既にドメインレベルで設定されており、ローカルグループポリシーで設定されているものよりも優先されます。そして、あなたが会社のネットワークの一部であるならば、とにかく、このような変更をする前にあなたはいつもあなたの管理者と相談するべきです.
グループポリシーは強力なツールです。今まで使ったことがない人は、始める前にできることについてもう少し学ぶことをお勧めします。また、PC上の特定のユーザーだけにポリシーを適用したい場合は、設定を行うためにいくつかの追加手順を実行する必要があります。.
ローカルグループポリシーエディタを開くには、[スタート]ボタンをクリックし、「gpedit.msc」と入力して、結果をクリックします。または、ポリシーを特定のユーザーまたはグループに適用する場合は、それらのユーザー用に作成したMSCファイルを開きます。.
ローカルグループポリシーエディタの左側で、[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[アカウントの原則]、[アカウントのロックアウトの原則]の順に選択します。右側にある[アカウントロックアウトのしきい値]設定をダブルクリックします。.
設定のプロパティウィンドウでは、デフォルトで「無効なログオン試行回数が0回」に設定されています。これは事実上、設定が無効になっていることを意味します。これを変更するには、1より大きい新しい数値を選択するだけです。誤って誤ったパスワードを自分で入力したときに、自分のシステムからロックアウトされないようにするために、これを少なくとも3に設定することをお勧めします。完了したら、[OK]をクリックします。.
Windowsは自動的に2つの関連設定を30分に設定します。 「アカウントロックアウト期間」は、設定したアカウントロックアウトしきい値を超えたときに、以降のサインイン試行に対してPCをロックする期間を制御します。 「アカウントロックアウトカウンタをリセットした後」は、最後に失敗したパスワード試行からしきい値カウンタがリセットされるまでの時間を制御します。たとえば、無効なパスワードを入力してから別の無効なパスワードをすぐに入力したとします。ただし、3回目は試行しません。 2回目の試行から30分後(少なくともここで使用した設定による)、カウンタはリセットされ、さらに3回試行することができます。.
ここでこれらの値を変更することはできませんので、先に進んで「OK」ボタンをクリックしてください。.
ローカルグループポリシーエディタのメインウィンドウに戻ると、[アカウントロックアウトポリシー]フォルダの3つの設定すべてが新しい設定を反映するように変更されていることがわかります。ダブルクリックしてプロパティウィンドウを開くことで任意の設定を変更できますが、正直なところ30分はロックアウト期間とロックアウトカウンタのリセットの両方にとって非常に堅実な設定です。.
使用する設定を決定したら、ローカルグループポリシーエディタを閉じます。設定はすぐに行われますが、サインインに影響するため、ポリシーを有効にするにはサインアウトしてから再度サインインする必要があります。また、全体の機能を再びオフにしたい場合は、戻って「アカウントロックアウトしきい値」設定を0に戻してください。.