适用范围

介绍有关账户：限制使用空密码的本地账户只允许进行控制台登录安全策略的最佳做法、位置、值和安全注意事项。

账户：限制适用空密码的本地账户只允许进行控制台登录策略设置确定是否允许具有空密码的本地帐户通过网络服务进行远程交互式登录，如远程桌面服务、Telnet 和文件传输协议 (FTP)。 如果启用此策略设置，则本地帐户必须具有非空密码才能用于从远程客户端执行交互式登录或网络登录。

此策略设置不会影响在控制台以物理方式执行的交互式登录或使用域帐户进行的登录。 使用远程交互式登录的非 Microsoft 应用程序可能会绕过此策略设置。 空密码严重威胁计算机安全，因此应通过公司策略和适当的技术措施禁止使用。 不过，如果能够创建新帐户的用户创建了一个已绕过基于域的密码策略设置的帐户，则该帐户可能具有空密码。 例如，用户可以生成独立的系统，创建一个或多个具有空密码的帐户，然后将计算机加入域。 该具有空密码的本地帐户仍可正常工作。 然后，知道帐户名称的任何人都可以使用具有空密码的帐户登录到系统。

不在物理安全位置的设备应始终对所有本地用户帐户强制实施强密码策略。 否则，对设备具有物理访问权限的任何人都可以使用没有密码的用户帐户登录。 此策略对于便携式设备尤为重要。

如果将此安全策略应用于所有人组，则任何人都将无法通过远程桌面服务登录。

计算机配置\Windows 设置\安全设置\本地策略\安全选项

下表列出了此策略的实际和有效的默认值。 默认值也列在策略的属性页上。

本部分介绍了可用于帮助管理此策略的功能和工具。

无。 当在本地保存或通过组策略分发对此策略进行的更改时，这些更改无需重启设备即可立即生效。

通过 GPO 分发的策略优先于在加入域的计算机上本地配置的策略设置。 在域控制器上，使用 ADSI 编辑器或 dsquery 命令来确定有效的最小密码长度。

可以通过使用要通过组策略对象 (GPO) 分发的组策略管理控制台 (GPMC) 来配置此策略设置。 如果分布式 GPO 中不包含此策略，则可以使用本地安全策略管理单元在本地设备上配置此策略。

本部分介绍攻击者如何利用一项功能或其配置，如何实施对策，以及对策实施可能产生的负面后果。

空密码严重威胁计算机安全，因此应通过公司策略和适当的技术措施禁止使用。 从 Windows Server 2003 起，Active Directory 域的默认设置需要至少 7 个字符的复杂密码，而从 Windows Server 2008 开始，将需要至少 8 个字符。 但是，如果能够创建新帐户的用户绕过基于域的密码策略，则可以创建使用空密码的账户。 例如，用户可以生成独立计算机，使用空密码创建一个或多个帐户，然后将计算机加入域。 该具有空密码的本地帐户仍可正常工作。 知道这些未受保护帐户之一的名称的任何人都可以使用它进行登录。

启用帐户：使用空密码的本地帐户只允许进行控制台登录设置。

无。 此非影响行为是默认配置。

安全选项