帳戶限制本地帳戶使用空白密碼(Windows 10) - Windows security

帳戶: 限制使用空白密碼的本機帳戶僅能登入到主控台. 發行項; 2021/11/02; 1 位參與者 ... 跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 意見反應 編輯 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台 發行項 11/03/2021 1位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 適用對象 Windows10 說明帳戶的最佳作法、位置、值和安全性考慮：將空白密碼的本地帳戶使用限制為僅主控台登入安全性原則設定。

參考 帳戶：限制本地帳戶使用空白密碼至主機登入的唯一策略設定，決定是否允許具有空白密碼的本地帳戶使用遠端互動式登入，例如遠端桌面服務、Telnet和檔案傳輸通訊協定(FTP)。

如果已啟用此策略設定，則本地帳戶必須有非黑色密碼，才能用來從遠端用戶端執行互動式或網路登入。

此策略設定不會影響在主機或使用網域帳戶的登錄上實際執行的互動式登入。

使用遠端互動式標誌的非Microsoft應用程式可以忽略此策略設定。

空白密碼是電腦安全性性的嚴重問題，因此應該透過公司政策及適當的技術措施來禁止。

不過，如果能夠建立新帳戶的使用者建立一個已忽略您網域密碼原則設定的使用者，該帳戶可能擁有空白密碼。

例如，使用者可以建立獨立的系統、使用空白密碼建立一或多個帳戶，然後將電腦加入網域。

具有空白密碼的本地帳戶仍可運作。

知道帳戶名稱的任何人都可以使用具有空白密碼的帳戶來登入系統。

不在實體安全位置的裝置應一直針對所有本地使用者帳戶強制執行強密碼原則。

否則，凡是擁有裝置實體存取權的人，都可以使用沒有密碼的使用者帳戶登入。

這對便攜裝置特別重要。

如果您將此安全性原則適用于所有人群組，則任何人都無法透過遠端桌面服務登入。

可能值 Enabled 已停用 未定義 最佳做法 建議您設定帳戶：將空白密碼的本地帳戶使用限制為僅啟用主機登入。

位置 電腦群組Windows設定\安全性設定\LocalPolicies\Security選項 預設值 下表列出此策略的實際及有效預設值。

預設值也會列在策略的屬性頁面上。

伺服器類型或GPO 預設值 預設網域策略 未定義 預設網域控制站政策 未定義 Stand-Alone伺服器預設設定 啟用 DC有效預設設定 啟用 成員伺服器有效預設設定 啟用 用戶端電腦有效預設設定 啟用 群組原則管理 本節說明可協助您管理此政策的功能和工具。

重新啟動需求 無。

當裝置在本地儲存或透過群組原則發佈時，此策略的變更就會生效。

策略衝突考慮 透過GPO發佈的政策優先于已加入網域的電腦上的本地設定之策略設定。

在網域控制站上，使用ADSIEdit或dsquery命令來判斷有效的最小密碼長度。

群組原則 此策略設定可以使用群組原則管理主控台(GPMC)，透過群組原則物件(GPO)。

如果分散式GPO中未包含此策略，可以使用本地安全性原則管理單元在本地裝置上配置此策略。

安全性考量 本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策，以及實作因應對策可能的負面後果。

弱點 空白密碼是電腦安全性性的嚴重問題，因此應該透過組織政策及適當的技術措施來禁止。

從WindowsServer2003開始，ActiveDirectory網域的預設設定需要至少七個字元的複雜密碼，以及從WindowsServer2008開始所Windows字元。

不過，如果能夠建立新帳戶的使用者忽略您的網域密碼政策，他們可能會使用空白密碼建立帳戶。

例如，使用者可以建立獨立電腦、使用空白密碼建立一或多個帳戶，然後將電腦加入網域。

具有空白密碼的本地帳戶仍可運作。

任何知道其中一個未受保護的帳戶名稱的人，就可以使用它登入。

因應對策 啟用帳戶：將空白密碼的本地帳戶使用限制為僅主控台登入設定。

可能的影響 無。

這是預設群組原則。

相關主題 安全性選項 意見反應 提交並檢視相關的意見反應 本產品 本頁 檢視所有頁面意見反應 本文內容