いいえ、Windows10でパスワード回復の質問を無効にする必要はありません

Dec 17, 2024
プライバシーとセキュリティ
未取得のコンテンツ

最近、研究者のグループが、パスワード回復の質問を使用してWindows 10PCに侵入するシナリオについて説明しました。これにより、この機能を無効にすることを提案する人もいます。ただし、自宅のコンピューターユーザーの場合は、これを行う必要はありません。

それで、ここで何が起こっているのですか?

なので Ars Technica 最初に報告されたように、Windows 10は、過去1年間にローカルアカウントにパスワード回復の質問を設定するオプションを追加しました。セキュリティ研究者はこれを掘り下げ、ビジネスネットワーク上でこれが潜在的な脆弱性につながる可能性があることを発見しました。

すぐに、2つの重要なポイントを見つけることができます。

  • まず、シナリオ全体は、ドメインネットワークに参加しているコンピューターに依存しています。これは、管理対象のコンピューターを備えたビジネスネットワークで見られるようなものです。
  • 次に、この脆弱性はローカルアカウントに適用されます。 PCがドメインの一部である場合、ローカルアカウントではなく、ほぼ確実に一元化されたドメインユーザーアカウントを使用しているため、これは特に興味深いことです。また、セキュリティの質問は、デフォルトではドメインアカウントでは許可されていません。

さらに重要な3番目のポイントもあります。これらすべてを行うには、まず悪意のあるアクターがネットワーク上の管理者レベルのアクセスを取得する必要があります。そこから、ネットワークに接続されていてまだローカルアカウントを持っているマシンを特定し、それらのアカウントにセキュリティの質問を追加できます。

なぜわざわざ?

管理者が悪意のあるアクターのアクセスを発見して取り消し、その後すべてのパスワードを変更した場合、理論的には、アクターはネットワークに戻ってこれらのマシンに戻り、カスタムの質問を使用してこれらのパスワードをリセットし、フルアクセスを取り戻すことができます。 。

研究者たちは、ハッシュツールを使用して以前のパスワードを特定し、古いパスワードを復元してアクセスを隠すこともできると提案しました。ここでの問題は、ほとんどのドメインネットワークがデフォルトで再利用されたパスワードを許可していないことです。

Ars TechnicaがMicrosoftにコメントを求めたとき、返答は短かった。

説明されている手法では、攻撃者はすでに管理者アクセス権を持っている必要があります

それは最初は鈍感に思えるかもしれませんが、マイクロソフトが示唆していることは正しいことであり、それは私たちに問題の真の核心をもたらします。悪意のある攻撃者がネットワーク上で管理者レベルのアクセス権を取得すると、潜在的な被害と攻撃の手段は、単純なパスワードリセットのトリックをはるかに超えます。また、ネットワークが十分に堅牢で、悪意のある攻撃者が管理レベルを取得するのを防ぐことができる場合、これはすべて意味がありません。

したがって、最終的には、悪意のある攻撃者は、Windowsドメインを使用するビジネスネットワークへの管理者レベルのアクセスを取得し、ローカルアカウントを持っている可能性のあるコンピューターを見つけて、セキュリティの質問を作成して、それらに戻ることができるようにする必要があります。コンピューターが発見されてロックアウトされた場合。そして、管理者レベルのアクセスによって、すでにはるかに多くの害を及ぼすことができるようになると、私たちはそれについて心配することになっています。

とった。それで、これは私に当てはまりますか?

自宅でWindows10コンピューターを使用している場合、簡単な答えはほぼ間違いなくそうではありません。そして、その理由は次のとおりです。

  • 自宅のPCがドメインに参加していない可能性があります。
  • たとえそうだったとしても、ローカルアカウントを使用する必要があり、Windows 10のほとんどの人はおそらくMicrosoftアカウントを使用してサインインしています。これは、Windows10では多くの機能にMicrosoftアカウントを使用する必要があるためです。 正しく動作する 。そして、あなたは作成するためにいくつかの追加のステップを踏むことができますが ローカルアカウント 代わりに、Microsoftはそれを最も明白な選択とはしていません。 Microsoftアカウントを使用している場合、パスワードリセットの質問を使用するオプションはありません。
  • これを利用するには、誰かがあなたのPCにリモートまたは物理的にアクセスできる必要があります。そして、そのレベルのアクセスで、パスワードリセットの質問はあなたの心配の最も少ないです。

したがって、この研究のいずれもあなたに当てはまらない可能性は非常に高いです。ただし、ドメインに参加しているローカルアカウントを使用している場合でも、これはすべて、古くからの一連の質問に帰着します。セキュリティの名の下にどれだけの利便性をあきらめるべきですか?逆に、利便性の名目でどれだけのセキュリティを放棄する必要がありますか?

この場合、悪意のある攻撃者がマシンにアクセスし、セキュリティの質問を使用して完全な制御を取得する可能性は非常に低くなります。また、パスワードを忘れて質問が必要になる可能性は少し高くなります。あなたの状況を把握し、あなたにとって最良の選択をしてください。

Disable Security Questions On Windows 10

Things You Need To Disable In Windows 10 Right Now

How To- Enable Or Disable BIOS/Power On Password On Windows 10

How To Disable Windows 10 Login Password And Lock Screen!

Remove Windows 10 Password For FREE

How To Disable Security Questions For Local Account On Windows 10 [Tutorial]

RESET Windows 10 Password, No Software Used. Do It Like A Pro!

How To Reset Password Windows 10 If You Forget It - Easy

Reset Windows 10 Password Without Losing Data

How To Reset Windows 10 Password Easily 100% Working

FACTORY RESET LENOVO 100S IDEAPAD No Password WINDOWS 10

Windows 10 Login Bypass

Forgot Password. HOW TO RESET PASSWORD In Windows 8, 8.1 And 10. In 2021

How To Remove/reset Password Windows Surface Tablet

Windows 10 - Reset A Forgotten Local Account Password By Restoring To Factory Settings

2021 Reset Windows 10 Password Without Software Or Bootable Media Using Only Command Line

Bypass UAC Prompts In Windows 10!

How To Reset Windows Password Without Losing Data

プライバシーとセキュリティ - 最も人気のある記事

Windows10でWindowsセキュリティの改ざん防止を有効にする方法

プライバシーとセキュリティ Jun 10, 2025

Windows10の2019年5月の更新 Windowsセキュリティに新しい「改ざん防止」機能をもたらします。これは WindowsDefenderアンチウイ..

より良い家族の技術サポートを提供するための完全なガイド

プライバシーとセキュリティ Nov 21, 2024

未取得のコンテンツ 今年もその休日の時期です。つまり、川を越えて森の中を通り抜け、家族のWi-Fiやその他の技術的な問題を解決�..

Snapchatの新しいマップ機能の説明(およびそれを無効にする方法)

プライバシーとセキュリティ Jul 7, 2025

未取得のコンテンツ Snapchatは信じられないほどの速度で機能を展開しています。それらのいくつかは、音声フィルターを追加するな�..

二要素認証にSMSを使用すべきでない理由(および代わりに使用するもの)

プライバシーとセキュリティ Jul 3, 2025

未取得のコンテンツ セキュリティの専門家が推奨 二要素認証を使用する 可能な限りオンラインアカウントを保護します�..

Windows10でゲストアカウントを作成する方法

プライバシーとセキュリティ Jul 5, 2025

ゲストが一時的にコンピュータを使用してメールをチェックしたり、ウェブで何かを調べたりすることを頻繁に求めている場合は、ゲ�..

Steamトレーディングカードを販売する方法(そして無料のSteamクレジットを取得する方法)

プライバシーとセキュリティ Sep 20, 2025

Steamトレーディングカードは基本的に無料です。 Steamでいくつかのゲームを所有していると仮定すると、おそらく気付かないうちにSteam..

Wi-Fiセンスとは何ですか?なぜFacebookアカウントが必要なのですか?

プライバシーとセキュリティ Jul 2, 2025

Wi-Fi Senseは、組み込みの機能です ウインドウズ10 。 「Wi-FiSenseにはFacebookアカウントの使用許可が必要です」というポップア..

子供のためにあなたのiPadまたはiPhoneをロックダウンする方法

プライバシーとセキュリティ Jan 30, 2025

iPadとiPhoneを使用すると、お子様がデバイスをどのように使用できるかを制御できます。デバイスを渡す前に特定のアプリにすばやくロ..

カテゴリ