こんにちは、阿久津です。某日、Microsoftのテクニカルセミナーに行ってきました。基本的にはWindows Vistaにおける新機能説明会で、毎回特定のテーマに沿ったスピーチを行なうというもの(詳しくは本誌記事をご覧になってください)。今回はセキュリティをテーマに掲げていましたが、なかでも気になったのが複数認証プロセスのサポート。通常はパスワードによる認証プロセスを主としていたWindows XPですが、Windows VistaではGINAの廃止が新たに盛り込まれました。

そもそもGINAとはGraphical Identification and Authenticationの略で、再ログオン処理などを行なうロック画面を描画する「Winlogonデスクトップ」から、通常処理を行なうアプリケーションデスクトップへ移行する際に呼び出す処理をSAS(Secure Attention Sequence)と称します。このSASの検出を行なうのがwinlogon.exeから呼び出すGINA(msgina.dll)で、通常は前述のようにパスワード認証を用いて認証プロセスを実行しています。

最近では指紋などバイオメトリック認証を持つクライアントコンピュータも目にするようになりましたが、これらは各コンピュータベンダーが仕様公開されているGINAをベースに、独自拡張を行なったもの。つまり本来便利であったはずのGINAがアダとなり、余計な開発プロセスが増えてしまうという矛盾が発生していました。

これらの仕様変更を踏まえると、今後は企業向けクライアントコンピュータが主であったバイオメトリック認証も、コンシューマレベルのコンピュータにも導入され、パスワードだけでなくICカードなどを用いた様々な認証形式が用いられるかもしれません。

もっとも、このような話が現実味を帯びてくるのはWindows Vistaが発売され、市場がこなれてくる2007年後半以降と思われます。それまでは、現在のパスワード認証システムを用いて、強固かつセキュアな環境を組み上げていくしかありません。そこで今回は、Windows XPのパスワードにまつわるチューニングをご紹介しましょう。

パスワード長を設定する

1. ＜スタート＞メニュー→＜ファイル名を指定して実行＞と選択。
2. 名前欄に半角で「regedit」と入力し、＜OK＞ボタンをクリック。
3. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Networkまでキーをたどって開く(キーがない場合は作成する)。
4. 右ペインの何もないところで右クリック。メニューから＜新規＞→＜バイナリ値＞と選択。名前を「MinPwdLen」に変更する。
5. バイナリ値「MinPwdLen」のデータ値に、最小パスワード長(0から14)を設定する。
6. レジストリエディタを終了し、Windows XPを再起動する。

パスワードを複雑にする

1. ＜スタート＞メニュー→＜ファイル名を指定して実行＞と選択。
2. 名前欄に半角で「regedit」と入力し、＜OK＞ボタンをクリック。
3. HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Windows \ CurrentVersion \ Policies \ Networkまでキーをたどって開く(キーがない場合は作成する)。
4. 右ペインの何もないところで右クリック。メニューから＜新規＞→＜DWORD値＞と選択。名前を「AlphanumPwds」に変更する。
5. バイナリ値「AlphanumPwds」のデータ値を「1」に書きかえる。
6. レジストリエディタを終了し、Windows XPを再起動する。

パスワードの有効期限を設定する

1. ＜スタート＞メニュー→＜ファイル名を指定して実行＞と選択。
2. 名前欄に半角で「regedit」と入力し、＜OK＞ボタンをクリック。
3. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Networkまでキーをたどって開く(キーがない場合は作成する)。
4. 右ペインの何もないところで右クリック。メニューから＜新規＞→＜バイナリ値＞と選択。名前を「MaxPasswordAge」に変更する。
5. バイナリ値「MaxPasswordAge」のデータ値を「30」に書きかえる。
6. レジストリエディタを終了し、Windows XPを再起動する。

パスワードの有効期限を警告する猶予日を設定する

1. ＜スタート＞メニュー→＜ファイル名を指定して実行＞と選択。
2. 名前欄に半角で「regedit」と入力し、＜OK＞ボタンをクリック。
3. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogonまでキーをたどって開く(キーがない場合は作成する)。
4. 右ペインの何もないところで右クリック。メニューから＜新規＞→＜DWORD値＞と選択。名前を「passwordexpirywarning」に変更する。
5. DWORD値「passwordexpirywarning」のデータ値を「10」に書きかえる。
6. レジストリエディタを終了し、Windows XPを再起動する。

これで設定完了です。まず「パスワード長を設定する」「パスワードの有効期限を設定する」など、バイナリ値で設定する日数や文字列長に関しては16進数で設定してください。「パスワードの有効期限を設定する」のステップ5で設定する単位は日数ですので、今回の例では約一カ月となります。また、「パスワードを複雑にする」では、データ値を「1」にすることで、アルファベットと数字が含まれるパスワードのみ設定可能となるのでご注意ください。

ちなみに、～Policies \ Networkの設定はシステム全体に影響を及ぼす必要があるため、HKEY_LOCAL_MACHINEから設定を行なっていますが、各ユーザー個別に設定する場合はステップ2で開くキーを、HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Networkに読みかえて実行します。

それでは、また次号でお会いしましょう。

阿久津良和(Cactus)