Contas: limite o uso em contas locais de senhas em branco somente ao logon no console
Descreve as práticas recomendadas, localização, valores e considerações de segurança da configuração de política de segurança Contas: limite o uso em contas locais de senhas em branco somente ao logon no console.
A configuração de política Contas: limite o uso em contas locais de senhas em branco somente ao logon no console determina se logons interativos remotos através dos serviços de rede como Serviços de Área de Trabalho Remota, Telnet e protocolo FTP são permitidos para contas locais que tenham senhas em branco. Se essa configuração de política estiver habilitada, uma conta local deve ter uma senha que não seja em branco a ser usada para realizar um logon interativo ou em rede a partir de um cliente remoto.
Essa configuração de política não afeta logons interativos executados fisicamente no console ou logons que usam contas de domínio. Os aplicativos que não são da Microsoft e usam logons interativos remotos podem ignorar essa configuração de política.
Senhas em branco são uma séria ameaça à segurança do computador e devem ser proibidas por meio de políticas da empresa e medidas técnicas adequadas. No entanto, se um usuário com a capacidade de criar novas contas cria uma que ignora as configurações de política de senha baseada em domínio, essa conta pode ter uma senha em branco. Por exemplo, um usuário poderia criar um sistema autônomo, criar uma ou mais contas com senhas em branco e, em seguida, ingressar o computador ao domínio. As contas locais com senhas em branco ainda funcionarão. Qualquer pessoa que souber o nome da conta, poderá usar contas com senhas em branco para fazer logon sistemas.
Dispositivos que não estão em locais fisicamente seguros devem sempre aplicar políticas de senha forte para todas as contas de usuário local. Caso contrário, qualquer pessoa com acesso físico ao dispositivo pode fazer logon usando uma conta de usuário que não possui uma senha. Isso é especialmente importante para dispositivos portáteis.
Se você aplicar essa política de segurança para o grupo Todos, ninguém poderá fazer logon por meio de Serviços de Área de Trabalho Remota.
Habilitada
Desabilitada
Não definido
- É aconselhável definir Contas: limite o uso em contas locais de senhas em branco somente ao logon no console como ativado.
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança
A tabela a seguir lista os valores padrão reais e efetivos dessa política. Os valores padrão também estão listados na página de propriedades da política.
Tipo de servidor ou GPO | Valor padrão |
---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Não definido |
Configurações Padrão de Servidor Autônomo |
Habilitada |
Configurações Padrão Efetivas de DC |
Habilitada |
Configurações Padrão Efetivas do Servidor Membro |
Habilitada |
Configurações Padrão Efetivas do Computador Cliente |
Habilitada |
Esta seção descreve os recursos e as ferramentas disponíveis para ajudar você a gerenciar essa política.
Nenhum. As alterações nessa política entram em vigor sem uma reinicialização do dispositivo quando são salvas localmente ou distribuídas por meio de Política de Grupo.
A política distribuída por meio do GPO, tem precedência sobre a configuração de política definida localmente em um computador que tenha ingressado em um domínio. No controlador de domínio, use o Editor ADSI ou o comando dsquery para determinar o tamanho mínimo de uma senha eficaz.
Essa configuração de política pode ser definida usando o GPMC (Console de Gerenciamento de Política de Grupo) para ser distribuída por meio de GPOs (Objetos de Política de Grupo). Se essa política não estiver em um GPO distribuído, ela poderá ser configurada no dispositivo local por meio do snap-in Política de Segurança Local.
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Senhas em branco são uma séria ameaça à segurança do computador e devem ser proibidas por meio de políticas da organização e medidas técnicas adequadas. A partir do Windows Server 2003, as configurações padrão de domínios do Active Directory exigem senhas complexas de pelo menos sete caracteres, e oito caracteres a partir do Windows Server 2008. No entanto, se os usuários com a capacidade de criar novas contas ignoram suas políticas de senha baseada em domínio, eles podem criar contas com senhas em branco. Por exemplo, um usuário poderia criar um computador autônomo, criar uma ou mais contas com senhas em branco e, em seguida, ingressar o computador ao domínio. As contas locais com senhas em branco ainda funcionarão. Qualquer um que sabe o nome de uma dessas contas não protegidas, pode usá-la para fazer logon.
Habilitar a configuração Contas: limite o uso em contas locais de senhas em branco somente ao logon no console.
Nenhum. Essa é a configuração padrão.