【Windows】パスワード入力を3回間違えたらPCを自動で再起動させるセキュリティ設定

PCのセキュリティ強化を検討しているビジネスマンの皆様、不正なログオン試行からPCを守りたいとお考えではないでしょうか。

Windowsの標準機能には、パスワード入力に複数回失敗した場合にPCへのログオンを制限する設定があります。

この記事では、パスワード入力を複数回間違えた際にアカウントをロックし、PCへのアクセスを制限するセキュリティ設定について、具体的な手順を解説します。

アカウントロックアウトポリシーの概要と目的

ログオンパスワードの入力を複数回間違えた際に、PCを自動で再起動させる直接的なWindows標準機能は存在しません。

しかし、代わりに「アカウントロックアウトポリシー」を設定することで、不正なログオン試行からPCを保護し、一時的にログオンを制限できます。

このポリシーは、指定回数パスワードを間違えると、そのアカウントを一定期間ロックします。

これにより、ブルートフォースアタックと呼ばれるパスワードの総当たり攻撃を防ぎ、PCへの不正アクセス試行を阻止し、情報漏洩のリスクを低減します。

この設定は、Windows 11 Pro以上のエディション、またはWindows 10 Pro以上のエディションで利用できるグループポリシーエディターから行います。

アカウントロックアウトポリシーの仕組み

アカウントロックアウトポリシーは、以下の3つの要素で構成されています。

• アカウントロックアウトのしきい値: ログオンに失敗できる回数の上限です。この回数を超えるとアカウントがロックされます。
• アカウントロックアウト期間: アカウントがロックされた後、自動的にロックが解除されるまでの時間です。この間は正しいパスワードを入力してもログオンできません。
• ロックアウトカウンターのリセット: ログオン失敗回数をリセットするまでの時間です。この時間内に再度ログオンに失敗すると、カウンターがリセットされずにロックアウトのしきい値に近づきます。

パスワード入力失敗時にPCへのログオンを制限する設定手順

ここでは、Windows 11を基準に、パスワード入力失敗時のアカウントロックアウト設定手順を解説します。

この設定には管理者権限が必要です。

1. グループポリシーエディターを開く
   WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。「gpedit.msc」と入力し、Enterキーを押すか「OK」をクリックします。
2. セキュリティ設定の階層へ移動する
   グループポリシーエディターの左側のペインで、「コンピューターの構成」を展開します。次に「Windowsの設定」を展開し、「セキュリティの設定」を展開します。さらに「アカウントポリシー」を展開し、「アカウントロックアウトポリシー」を選択します。
3. アカウントロックアウトのしきい値を設定する
   右側のペインで「アカウントロックアウトのしきい値」をダブルクリックします。「アカウントロックアウトのしきい値のプロパティ」ウィンドウが開きます。「ログオン失敗回数」を任意の回数に設定します。ここでは「3」と入力し、「適用」をクリックします。
4. 関連するポリシーが自動設定されることを確認する
   「アカウントロックアウトのしきい値」を設定すると、「アカウントロックアウト期間」と「ロックアウトカウンターのリセット」も自動的に設定される旨のメッセージが表示されます。「OK」をクリックして閉じます。
5. アカウントロックアウト期間を確認または変更する
   右側のペインで「アカウントロックアウト期間」をダブルクリックします。自動設定された時間が表示されます。必要に応じて、アカウントがロックされる時間を分単位で設定または変更できます。ここでは「30」と入力し、「適用」をクリックします。
6. ロックアウトカウンターのリセットを確認または変更する
   右側のペインで「ロックアウトカウンターのリセット」をダブルクリックします。自動設定された時間が表示されます。必要に応じて、ロックアウトカウンターがリセットされるまでの時間を分単位で設定または変更できます。ここでは「30」と入力し、「適用」をクリックします。
7. グループポリシーを適用する
   設定をシステムに即時反映させるため、管理者としてコマンドプロンプトを開きます。Windowsの検索ボックスに「cmd」と入力し、「コマンドプロンプト」を右クリックして「管理者として実行」を選択します。コマンドプロンプトウィンドウで「gpupdate /force」と入力し、Enterキーを押します。「コンピューターポリシーの更新が正常に完了しました」と表示されれば完了です。
8. 設定の効果を確認する
   実際にログオフし、設定した回数だけパスワードを間違えて入力してみてください。指定回数を超えると「参照されているアカウントは現在ロックアウトされているため、ログオンすることはできません。」といったメッセージが表示され、ログオンが制限されることを確認できます。

Windows 10での設定手順

Windows 10での設定手順も、Windows 11とほぼ同じです。

「ファイル名を指定して実行」から「gpedit.msc」を開き、同様のパスで「アカウントロックアウトポリシー」にアクセスできます。

メニュー名やダイアログの表示に若干の違いがある場合もありますが、基本的な操作の流れは変わりません。

設定時の注意点と発生しうる問題

アカウントロックアウトポリシーはセキュリティ強化に有効ですが、設定を誤ると業務に支障が出る可能性があります。

アカウントロックアウト期間が長すぎる場合

正当なユーザーが誤ってパスワードを間違え、アカウントがロックアウトされた際、ロックアウト期間が長すぎるとすぐにログオンできません。

業務の継続に影響が出る可能性があります。

対処法: アカウントロックアウト期間は、業務への影響とセキュリティのバランスを考慮して適切な時間に設定しましょう。

例えば、30分程度に設定し、緊急時には管理者が手動でロック解除できる体制を整えることが重要です。

しきい値が少なすぎる場合

ログオン失敗回数のしきい値が少なすぎると、ユーザーが少しパスワードを間違えただけでアカウントがロックアウトされてしまいます。

これも業務の中断を引き起こす原因となります。

対処法: 一般的には3回から5回程度が推奨されるしきい値です。

ユーザーのパスワード入力習慣や組織のセキュリティポリシーに合わせて設定してください。

Windows Homeエディションでは設定できない

Windows Homeエディションには、グループポリシーエディターが搭載されていません。

そのため、上記の手順でアカウントロックアウトポリシーを設定することはできません。

対処法: Pro以上のエディションにアップグレードするか、Microsoftアカウントを使用している場合は、Microsoftアカウントのセキュリティ設定で二段階認証などを利用してセキュリティを強化してください。

管理者アカウントのロックアウトに注意する

すべての管理者アカウントがロックアウトされてしまうと、PCにアクセスできなくなり、設定の変更や解除が困難になる可能性があります。

対処法: 少なくとも2つ以上の管理者アカウントを用意し、一つは緊急時用に保管しておくことを推奨します。

また、PCの物理的なアクセスが可能な場合は、Windowsの回復オプションなどから対処できる場合があります。

BitLockerとの連携

BitLockerでドライブが暗号化されているPCで、アカウントロックアウト後に再起動が行われると、BitLocker回復キーの入力が必要になる場合があります。

これは、不正なアクセスからデータを保護するための動作です。

対処法: BitLocker回復キーを安全な場所に保管し、いつでも取り出せるように準備しておくことが重要です。

ローカルセキュリティポリシーとグループポリシーの違い

Windowsには、セキュリティ設定を管理するための「ローカルセキュリティポリシー」と「グループポリシー」の2つの主要な方法があります。

項目	ローカルセキュリティポリシー	グループポリシー
適用範囲	単一のPCに適用される	ドメイン内の複数のPCに適用される
設定方法	gpedit.mscまたはsecpol.mscを使用する	グループポリシー管理エディター GPMC.msc を使用する
優先順位	ドメインのグループポリシーよりも優先順位が低い	ローカルセキュリティポリシーよりも優先順位が高い
対象エディション	Windows Pro以上のエディションで利用可能	Windows Server OSとPro以上のクライアントOSで利用可能

まとめ

この記事では、Windows 11およびWindows 10で、パスワード入力ミスによるアカウントロックアウトを設定する方法を解説しました。

アカウントロックアウトポリシーを適切に設定することで、不正なログオン試行からPCを保護し、セキュリティレベルを高めることができます。

自社のセキュリティポリシーや運用環境に合わせて、アカウントロックアウトのしきい値や期間を設定することをおすすめします。