Учетные записи: разрешить использование пустых паролей только при консольном входе Accounts: Limit local account use of blank passwords to console logon only
Область применения Applies to
В этой статье описаны рекомендации, сведения о расположении, значения и рекомендации по обеспечению безопасности для учетных записей: ограничить использование пустых паролей только параметрами политики безопасности «только консольный вход» . Describes the best practices, location, values, and security considerations for the Accounts: Limit local account use of blank passwords to console logon only security policy setting.
Справочные материалы Reference
Учетные записи: ограничить использование пустых паролей только параметрами политики входа в систему. определяет, разрешены ли в локальных учетных записях, которые содержат пустые пароли, удаленные интерактивные входы в сеть с помощью сетевых служб, таких как службы удаленных рабочих столов, Telnet и протокол передачи файлов (FTP). The Accounts: Limit local account use of blank passwords to console logon only policy setting determines whether remote interactive logons by network services such as Remote Desktop Services, Telnet, and File Transfer Protocol (FTP) are allowed for local accounts that have blank passwords. Если этот параметр политики включен, локальная учетная запись должна содержать непустой пароль, который будет использоваться для интерактивного или сетевого входа на удаленный клиент. If this policy setting is enabled, a local account must have a nonblank password to be used to perform an interactive or network logon from a remote client.
Этот параметр политики не влияет на интерактивные входы, которые физически выполняются на консоли или в сеансах, использующих учетные записи домена. This policy setting does not affect interactive logons that are performed physically at the console or logons that use domain accounts. В других приложениях Майкрософт, использующих удаленные интерактивные входы, можно пропустить этот параметр политики. It is possible for non-Microsoft applications that use remote interactive logons to bypass this policy setting. Пустые пароли — это серьезная угроза безопасности компьютера, и они должны быть запрещены как в корпоративной политике, так и в соответствующих технических мерах. Blank passwords are a serious threat to computer security and they should be forbidden through both corporate policy and suitable technical measures. Тем не менее, если пользователь, имеющий возможность создавать новые учетные записи, создает учетную запись, которая не позволяет использовать параметры политики паролей на основе домена, она может иметь пустой пароль. Nevertheless, if a user with the ability to create new accounts creates one that has bypassed your domain-based password policy settings, that account might have a blank password. Например, пользователь может построить автономную систему, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone system, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями будут по-прежнему работать. The local accounts with blank passwords would still function. Любой пользователь, который знает имя учетной записи, может использовать учетные записи с пустыми паролями для входа в систему. Anyone who knows the account name can then use accounts with blank passwords to log on to systems.
Устройства, не включенные в физически безопасные расположения, должны всегда применять надежные политики паролей для всех локальных учетных записей пользователей. Devices that are not in physically secure locations should always enforce strong password policies for all local user accounts. В противном случае любой пользователь, имеющий физический доступ к устройству, может войти в систему с помощью учетной записи пользователя, не имеющей пароля. Otherwise, anyone with physical access to the device can log on by using a user account that does not have a password. Это особенно важно для переносных устройств. This is especially important for portable devices.
Если вы примените эту политику безопасности к группе «все», ни один из них не сможет войти в службу удаленных рабочих столов. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.
Возможные значения Possible values
Рекомендации Best practices
- Рекомендуется настроить учетные записи: ограничить использование пустых паролей для входа в консоль только для включения. It is advisable to set Accounts: Limit local account use of blank passwords to console logon only to Enabled.
Location Location
Параметры компьютера Configuration\Windows Settings\Security Settings\Local Policies\Security Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В приведенной ниже таблице перечислены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Enabled Enabled |
| Параметры по умолчанию, действующие на контроллере домена DC Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Enabled Enabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Enabled Enabled |
Управление политикой Policy management
В этом разделе описаны возможности и инструменты, которые можно использовать для управления политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики вступают в силу без перезапуска устройства, когда они хранятся на локальном компьютере или распределены с помощью групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.
Рекомендации по конфликтам политики Policy conflict considerations
Политика, предоставленная через GPO, имеет приоритет по сравнению с локально настроенным параметром политики на компьютере, подключенном к домену. The policy as distributed through the GPO takes precedence over the locally configured policy setting on a computer joined to a domain. Для определения действующей минимальной длины пароля на контроллере домена используйте команду ADSI Edit или dsquery. On the domain controller, use ADSI Edit or the dsquery command to determine effective minimum password length.
Групповая политика Group Policy
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения с помощью объектов групповой политики (GPO). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном объекте групповой политики, эту политику можно настроить на локальном устройстве с помощью оснастки локальной политики безопасности. If this policy is not contained in a distributed GPO, this policy can be configured on the local device by using the Local Security Policy snap-in.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Пустые пароли — это серьезная угроза безопасности компьютера, и их следует отключать с помощью организационной политики и подходящие технические меры. Blank passwords are a serious threat to computer security, and they should be forbidden through organizational policy and suitable technical measures. Начиная с Windows Server 2003, параметры доменов Active Directory по умолчанию используют сложные пароли не менее семи знаков и восемь символов, начиная с Windows Server2008. Starting with Windows Server 2003, the default settings for Active Directory domains require complex passwords of at least seven characters, and eight characters starting with Windows Server2008. Тем не менее, если пользователи, у которых есть возможность создавать новые учетные записи, пропускают политики паролей на основе домена, они могут создавать учетные записи с пустыми паролями. However, if users with the ability to create new accounts bypass your domain-based password policies, they could create accounts with blank passwords. Например, пользователь может создать на отдельном компьютере один или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone computer, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями будут по-прежнему работать. The local accounts with blank passwords would still function. Любой пользователь, который знает имя одной из этих незащищенных учетных записей, может использовать ее для входа в систему. Anyone who knows the name of one of these unprotected accounts could then use it to log on.
Противодействие Countermeasure
Включите учетные записи: ограничить использование пустых паролей для параметра «только консольный вход» . Enable the Accounts: Limit local account use of blank passwords to console logon only setting.
Возможное влияние Potential impact
Нет. None. Это конфигурация по умолчанию. This is the default configuration.
Настройте политику паролей в Windows 10/8/7
На некоторых веб-сайтах вы могли видеть, что для регистрации вам потребуется ввести пароль, который соответствует критерию, установленному веб-сайтом (например, пароль должен содержать не менее 8 символов, должен содержать буквы нижнего и верхнего регистра и т. д.) , Вы также можете реализовать эту функцию в Windows 10/8/7, используя либо локальную политику безопасности для Windows, либо используя командную строку с повышенными привилегиями для пользователей с другими выпусками Windows 10/8/7.
Изменить политику паролей Windows
Использование локальной политики безопасности.
Введите Local Security Policy в меню «Пуск» и нажмите Enter. Откроется окно LSP. Теперь на левой панели выберите Политика паролей в разделе Политики учетной записи. Теперь на правой стороне будут перечислены шесть вариантов.
Детали каждого из этих вариантов перечислены ниже.
Принудительное использование истории паролей . Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем старый пароль можно будет повторно использовать. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повышать безопасность, обеспечивая постоянное повторное использование старых паролей.
Максимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль может использоваться, прежде чем система потребует от пользователя его изменения. Вы можете установить срок действия паролей через несколько дней от 1 до 999, или вы можете указать, что срок действия паролей никогда не истечет, установив число дней равным 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше, чем максимальный срок действия пароля. Если максимальный срок действия пароля установлен равным 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.
Минимальный срок действия пароля: . Этот параметр безопасности определяет период времени (в днях), в течение которого пароль должен использоваться, прежде чем пользователь сможет его изменить. Вы можете установить значение от 1 до 998 дней или разрешить немедленные изменения, задав число дней равным 0. Минимальный срок действия пароля должен быть меньше, чем Максимальный срок действия пароля, если только максимальный срок действия пароля не установлен равным 0, указывая что пароли никогда не истекают. Если максимальный срок действия пароля установлен на 0, минимальный срок действия пароля может быть установлен на любое значение от 0 до 998.
Минимальная длина пароля: Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов в 0.
Пароль должен соответствовать требованиям сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:
— Не содержать имя учетной записи пользователя или части полного имени пользователя, которые превышают два последовательных символа
— Длина не менее шести символов
— Содержат символы из трех следующих четырех категорий:
- Английские заглавные буквы (от A до Z)
- Английские строчные буквы (от a до z)
- Базовые 10 цифр (от 0 до 9)
- Не алфавитные символы (например. $, #,%)
Требования к сложности применяются при изменении или создании паролей.
Хранить пароль с использованием обратимого шифрования: Этот параметр безопасности определяет, будет ли операционная система хранить пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, которые используют протоколы, которые требуют знания пароля пользователя в целях аутентификации. Хранение паролей с использованием обратимого шифрования по существу аналогично хранению незашифрованных версий паролей. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле.
Чтобы изменить любой или все эти параметры, просто дважды щелкните параметр, выберите соответствующий вариант и нажмите ОК .
Использование расширенной командной строки.
Введите cmd в меню «Пуск». В разделе «Программы» щелкните правой кнопкой мыши cmd и выберите Запуск от имени администратора .
Команды и их пояснения приведены ниже.
net account/minpwlen: length — устанавливает минимальное количество символов, которое должен содержать пароль. Замените слово length на желаемое количество символов. Диапазон 0-14.
пример: чистые аккаунты/minpwlen: 7
net account/maxpwage: days — . Устанавливает максимальное количество дней, после которых пользователь должен будет сменить пароль.Замените days на желаемое значение. Диапазон от 1-999. Если используется unlimited , ограничение не устанавливается. Значение maxpwage всегда должно быть больше, чем minpwage .
пример: чистые аккаунты/maxpwage: 30
net account/minpwage: days — Задает минимальное количество дней, которое должно пройти, прежде чем пароль можно будет изменить. Замените days на желаемое значение. Диапазон от 1-999.
пример: чистые аккаунты/minpwage: 10
net account/uniquepw: number — Задает количество раз, после которого пароль может быть снова использован. Замените число на желаемое значение. Максимальное значение 24.
пример: чистые аккаунты/uniquepw: 8
Чтобы использовать команду, просто введите ее в командной строке, как показано, и нажмите клавишу ввода.
Чтобы просмотреть настройки, введите net account в cmd и нажмите enter.