Учетные записи: разрешить использование пустых паролей только при консольном входе
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Учетные записи: разрешить использование пустых паролей только при консольном входе.
Справочные материалы
Параметр политики Учетные записи: разрешить использование пустых паролей только при консольном входе определяет, разрешены ли для локальных учетных записей с пустым паролем удаленные интерактивные входы в систему, выполняемые сетевыми службами, такими как службы удаленных рабочих столов, Telnet и протокол FTP. Если этот параметр политики включен, локальная учетная запись должна иметь непустой пароль, чтобы можно было осуществлять интерактивный или сетевой вход с удаленного клиента.
Этот параметр не влияет на интерактивные входы, которые выполняются физически на консоли, или на входы, которые используют учетные записи домена. Приложения сторонних разработчиков, использующие удаленный интерактивный вход в систему, могут обойти этот параметр политики.
Пустые пароли являются серьезной угрозой для безопасности компьютера. Их использование должно быть запрещено политикой организации и соответствующими техническими средствами. Однако если пользователь с правами на создание новых учетных записей создает учетную запись, которая обходит параметры политики паролей на основе домена, эта учетная запись может иметь пустой пароль. Например, пользователь может собрать автономную систему, создать одну или несколько учетных записей с пустыми паролям, а затем присоединить компьютер к домену. Локальные учетные записи с пустыми пароли по-прежнему будут работать. Использовать учетные записи с пустыми паролями для входа в системы может любой пользователь, которому известно имя учетной записи.
К устройствам, находящимся в физически незащищенных местах, всегда должны принудительно применяться политики надежных паролей для всех локальных учетных записей пользователей. В противном случае любой человек, имеющий физический доступ к устройству, сможет войти в систему при помощи учетной записи пользователя, не имеющей пароля. Это особенно важно для портативных устройств.
Если этот параметр безопасности применяется к группе "Все", никто не сможет войти в систему через службы удаленных рабочих столов.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Параметру Учетные записи: разрешить использование пустых паролей только при консольном входе рекомендуется задать значение "Включено".
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Политика, распространяемая через GPO, имеет приоритет над локально настроенным параметром политики на компьютере, входящем в состав домена. Для определения минимальной длины пароля на контроллере домена следует использовать оснастку "Редактирование ADSI" или команду dsquery.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном устройстве с помощью оснастки "Локальная политика безопасности".
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Пустые пароли являются серьезной угрозой для безопасности компьютера. Их использование должно быть запрещено политикой организации и соответствующими техническими средствами. Для применения параметров по умолчанию для доменов Active Directory начиная с Windows Server 2003 требуются сложные пароли длиной не менее 7 символов и не менее 8 символов начиная с Windows Server 2008. Однако если пользователь с правами на создание новых учетных записей обходит политики паролей на основе домена, он может создать учетные записи с пустыми паролями. Например, пользователь может собрать автономный компьютер, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. Локальные учетные записи с пустыми пароли по-прежнему будут работать. Использовать незащищенные учетные записи для входа в системы может любой человек, которому известно имя такой учетной записи.
Меры противодействия
Включите параметр Учетные записи: разрешить использование пустых паролей только при консольном входе.
Возможные последствия
Нет. Это конфигурация по умолчанию.