徳島県のつるぎ町立半田病院、大阪府の大阪急性期・総合医療センターと
ランサムウェア被害の報道が続いている。
いずれもFortiGateの脆弱性を放置して感染したものだ。
日経コンピュータの11月24日号によると、大阪急性期・総合医療センターに対する
攻撃ではActiveDirectoryの認証失敗ログが大量に残されていたそうだ。
うちもログイン失敗回数の制限かけてないけれど、
これぐらいはちゃんとやっておかないと、いざという時に責められそうだ。
ということで、どうやるのか調べてみた。
グループポリシーの
コンピューターの構成→Windowsの設定→セキュリティの設定→アカウントポリシー
→アカウントロックアウトのポリシーにある次の3つを設定するそうだ。
(1)アカウントのロックアウトのしきい値
(2)ロックアウトカウンターのリセット
(3)ロックアウト期間
Microsoftの説明を見たけれど、(2)と(3)の関係がわからない。
(2)は何のためにあるんだろう。
説明に(2) <= (3)にせよと書いてあるので、同じ値で試してみるか。
庁内にはまだ通知していないので、
(1)を5回、(2)と(3)は3分にして試してみる。
まさか5回もパスワードを間違う人はいないでしょう。
コマンドプロンプトからgpupdate /forceでポリシーを適用してログアウトした。
パスワードが空のままEnterを連打してみる・・・ロックアウトされた。
正しいパスワードを入力してもログインできない。
3分放置後はログインできた。
よし、設定完了だ。
明日庁内に通知した後、ロックアウト期間をもっと長くしよう、とMさんに言って帰った。
・・・
次の日は忙しくて通知するのを忘れていた。
その次の日は用事があって仕事を休んだ。
そして今日出勤後、Mどんに昨日の事件を聞かされた。
農務課のUさんがやってきて、「パソコンにログインできなくなった、何とかして」
と言うんだけど、事情を知っているMさんは作業のため外出中だった。
それでもUさんはMどんに何とかしてと地団駄を踏んで面倒だったらしい。
いやー申し訳ない。
どうやらスクリーンタイムアウトから復帰する際にエンターキーを連打する人が
一定数いるらしい。パスワードが違いますってメッセージが出ることになるんだけど、
気にならないんだね。
そんなことに関心していないで、さっさと庁内に通知しよう。