Учетные записи: разрешить использование пустых паролей только при консольном входе Accounts: Limit local account use of blank passwords to console logon only

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для учетных записей. Ограничите использование пустых паролей в локальной учетной записи только параметром политики безопасности для доступа к консоли. Describes the best practices, location, values, and security considerations for the Accounts: Limit local account use of blank passwords to console logon only security policy setting.

Справочные материалы Reference

Учетные записи. Ограничение использования пустых паролей в локальной учетной записи только для настройки политики для консоли определяет, разрешены ли удаленные интерактивные учетные записи для сетевых служб, таких как службы удаленных рабочих стола, Telnet и протокол FTP, для локальных учетных записей с пустыми паролями. The Accounts: Limit local account use of blank passwords to console logon only policy setting determines whether remote interactive logons by network services such as Remote Desktop Services, Telnet, and File Transfer Protocol (FTP) are allowed for local accounts that have blank passwords. Если этот параметр политики включен, у локальной учетной записи должен быть незавершенный пароль, который будет использоваться для выполнения интерактивного или сетевого входа из удаленного клиента. If this policy setting is enabled, a local account must have a nonblank password to be used to perform an interactive or network logon from a remote client.

Этот параметр политики не влияет на интерактивные учетные записи, которые выполняются физически на консоли или в учетных записях домена. This policy setting does not affect interactive logons that are performed physically at the console or logons that use domain accounts. Приложения, которые не являются корпорацией Майкрософт, используют удаленные интерактивные учетные записи для обхода этого параметра политики. It is possible for non-Microsoft applications that use remote interactive logons to bypass this policy setting. Пустые пароли представляют серьезную угрозу безопасности компьютера, и их следует запретить как с помощью корпоративной политики, так и с помощью подходящих технических мер. Blank passwords are a serious threat to computer security and they should be forbidden through both corporate policy and suitable technical measures. Тем не менее, если пользователь с возможностью создания новых учетных записей создает учетную запись, которая обошла параметры политики паролей на основе домена, эта учетная запись может иметь пустой пароль. Nevertheless, if a user with the ability to create new accounts creates one that has bypassed your domain-based password policy settings, that account might have a blank password. Например, пользователь может создать автономные системы, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone system, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями по-прежнему будут работать. The local accounts with blank passwords would still function. Любой, кто знает имя учетной записи, может использовать учетные записи с пустыми паролями для входа в системы. Anyone who knows the account name can then use accounts with blank passwords to log on to systems.

Устройства, которые находятся не в физически безопасных расположениях, всегда должны применять политики надежных паролей для всех локальных учетных записей пользователей. Devices that are not in physically secure locations should always enforce strong password policies for all local user accounts. В противном случае любой пользователь с физическим доступом к устройству может войти в систему с помощью учетной записи пользователя без пароля. Otherwise, anyone with physical access to the device can log on by using a user account that does not have a password. Это особенно важно для переносимых устройств. This is especially important for portable devices.

Если применить эту политику безопасности к группе «Все», никто не сможет войти в систему через службы удаленных рабочих стола. If you apply this security policy to the Everyone group, no one will be able to log on through Remote Desktop Services.

Возможные значения Possible values

• Enabled Enabled
• Отключено Disabled
• Не определено Not defined

Рекомендации Best practices

• Рекомендуется устанавливать учетные записи: ограничить использование локальными учетной записью пустых паролей только для входа в консоль с помощью enabled. It is advisable to set Accounts: Limit local account use of blank passwords to console logon only to Enabled.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Включено Enabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Включено Enabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Включено Enabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Включено Enabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы конфликтов политик Policy conflict considerations

Политика, распространяемая через GPO, имеет приоритет над локально настроенным параметром политики на компьютере, который присоединяется к домену. The policy as distributed through the GPO takes precedence over the locally configured policy setting on a computer joined to a domain. На контроллере домена используйте редактор ADSI или команду dsquery, чтобы определить эффективную минимальную длину пароля. On the domain controller, use ADSI Edit or the dsquery command to determine effective minimum password length.

Групповая политика Group Policy

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через объекты групповой политики (GGPOs). This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through Group Policy Objects (GPOs). Если эта политика не содержится в распределенном GPO, эту политику можно настроить на локальном устройстве с помощью оснастки «Локализованная политика безопасности». If this policy is not contained in a distributed GPO, this policy can be configured on the local device by using the Local Security Policy snap-in.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пустые пароли представляют серьезную угрозу безопасности компьютера и должны быть запрещены политикой организации и подходящими техническими мерами. Blank passwords are a serious threat to computer security, and they should be forbidden through organizational policy and suitable technical measures. Начиная с Windows Server 2003, для параметров по умолчанию для доменов Active Directory требуются сложные пароли не менее семи символов и восьми символов, начиная с Windows Server 2008. Starting with Windows Server 2003, the default settings for Active Directory domains require complex passwords of at least seven characters, and eight characters starting with Windows Server 2008. Однако если пользователи с возможностью создания новых учетных записей обходят политики паролей на основе домена, они могут создавать учетные записи с пустыми паролями. However, if users with the ability to create new accounts bypass your domain-based password policies, they could create accounts with blank passwords. Например, пользователь может создать автономный компьютер, создать одну или несколько учетных записей с пустыми паролями, а затем присоединить компьютер к домену. For example, a user could build a stand-alone computer, create one or more accounts with blank passwords, and then join the computer to the domain. Локальные учетные записи с пустыми паролями по-прежнему будут работать. The local accounts with blank passwords would still function. Любой, кто знает имя одной из этих незащищенных учетных записей, может использовать его для входа. Anyone who knows the name of one of these unprotected accounts could then use it to log on.

Противодействие Countermeasure

Включить учетные записи: ограничить использование пустых паролей в локальной учетной записи только параметром «Только для доступа к консоли». Enable the Accounts: Limit local account use of blank passwords to console logon only setting.

Возможное влияние Potential impact

Нет. None. Это конфигурация по умолчанию. This is the default configuration.

Как в Windows 10 исправить ошибку запрета использования пустых паролей при подключении к компьютерам в локальной сети

Если вы настолько доверяете другим пользователям своей локальной сети и не ставите пароль на свой компьютер, то при попытке зайти по этой же сети на другой ПК вы наверняка получите уведомление «Ошибка ограниченного использования учетной записи пользователя» . В окошке с уведомлением помимо прочего будет указана возможная причина ошибки, а именно использование пустых паролей или наличие ограничений в локальных групповых политиках.

С аналогичной ошибкой вам придётся столкнуться при создании задачи для всех пользователей в Планировщике заданий.

Устранить эту ошибку проще простого, достаточно установить пароль для учётной записи администратора, но как быть, если вы хотите по-прежнему не использовать пароль для своей учётки? Решение тоже очень простое. Если вы работаете в Windows Pro или выше, задать нужную конфигурацию можно будет в редакторе локальных групповых политик, в домашней версии то же самое можно сделать через редактор реестра.

Откройте командой gpedit.msc редактор локальных групповых политик и перейдите по цепочке Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. В правой колонке отыщите политику «Учетные записи: разрешить использования пустых паролей только при консольном входе».

Дважды кликните по ней и установите радиокнопку в положение «Отключено».

Сохраните настройки. Они должны вступить в силу сразу же.

Точно такой же результат вы получите, воспользовавшись редактором реестра.

Откройте его командой regedit и перейдите по пути:

В правой колонке редактора отыщите параметр LimitBlankPasswordUse и измените его значение с 1 на 0.

Сохранив настройки и закрыв редактор реестра, перезайдите в систему или перезагрузите компьютер. Требование пароля будет отключено и вы сможете беспрепятственно создавать задачи для всех пользователей и подключаться к другим компьютерам в локальной сети.

Изменение или сброс пароля для Windows

Если вы забыли или потеряли пароль для Windows 10, Windows 8 1 или Windows 7, его можно изменить или сбросить. Чтобы начать работу, выберите свою версию Windows в раскрывающемся меню Выбор версии продукта.

Если вы уже знаете текущий пароль и хотите изменить его

Перейдите в раздел Пуск > Параметры > Учетные записи > Параметры входа . В разделе Пароль нажмите кнопку Изменить и следуйте инструкциям.

Сброс пароля локальной учетной записи Windows 10

Если вы забыли или потеряли пароль для локальной учетной записи Windows 10 и вам нужно снова выполнить вход в устройство, попробуйте использовать представленные ниже решения. Дополнительные сведения о локальных и административных учетных записях см. в статье Создание учетной записи локального пользователя или администратора в Windows 10.

В Windows 10 версии 1803 и выше

Если во время настройки локальной учетной записи для Windows 10 вы добавили контрольные вопросы, это означает, что у вас установлена версия не ниже 1803 и вы можете ответить на них, чтобы снова войти в систему.

После ввода неверного пароля выполните следующие действия.

Выберите ссылку Сброс пароля на экране входа. Если вместо этого вы используете ПИН-код, см. раздел Проблемы, связанные со входом с помощью ПИН-кода. Если вы используете рабочее устройство в сети, пункт сброса ПИН-кода может не отобразиться. В этом случае обратитесь к своему администратору.

Примечание: Если контрольные вопросы не отображаются на экране после того, как вы выбрали ссылку Сброс пароля, убедитесь, что имя устройства не совпадает с именем учетной записи локального пользователя (имя, которое вы видите при входе). Чтобы увидеть имя устройства, щелкните правой кнопкой мыши кнопку «Начните» на панели задач, выберите «Система» и перейдите в раздел «Спецификации устройства». Если имя устройства совпадает с именем учетной записи, вы можете создать новую учетную запись администратора, войти в систему как администратор, а затем переименовать свой компьютер (при просмотре имени устройства можно также переименовать устройство).

Ответьте на контрольные вопросы.

Введите новый пароль.

Войдите в систему обычным образом с новым паролем.

Windows 10 до версии 1803

Для версий Windows 10 ниже 1803 пароли к локальным учетным записям нельзя сбросить, так как в этих версиях отсутствуют контрольные вопросы. Вы можете сбросить устройство, чтобы выбрать новый пароль, но при этом данные, программы и параметры будут удалены без возможности восстановления. Если вы выполнили резервное копирование файлов, вы сможете восстановить удаленные файлы. Дополнительные сведения см. в статье Параметры восстановления в Windows 10.
Чтобы сбросить параметры устройства, удалите данные, программы и параметры.

Нажимая клавишу SHIFT, нажмите кнопку питания> перезапустить в правом нижнем углу экрана.

На экране Выбор действия выберите пункт Диагностика > Вернуть компьютер в исходное состояние.

Выберите команду Удалить все.

Предупреждение: При возврате устройства в исходное состояние будут удалены все данные, программы и параметры.

Сброс пароля учетной записи Майкрософт, который вы используете на компьютере

На экране входа введите имя учетной записи Майкрософт, если оно еще не отображается. Если на компьютере используется несколько учетных записей, выберите ту из них, пароль которой требуется сбросить. Выберите Забыли пароль под текстовым полем пароля. Следуйте инструкциям, чтобы сбросить пароль.

Устранение проблем со входом

Если у вас по-прежнему возникают проблемы со входом в учетную запись, ознакомьтесь с другими решениями в статье Устранение проблем со входом.

Сброс пароля

Примечание: Если вы забыли свой пароль для Windows 10, следуйте инструкциям из статьи Сброс пароля локальной учетной записи Windows 10.

Если вы забыли свой пароль для Windows 8.1, его можно восстановить несколькими способами:

Если ваш компьютер введен в домен, системный администратор должен сбросить ваш пароль.

Если вы используете учетную запись Майкрософт, пароль можно сбросить через Интернет. Подробнее: Как сбросить пароль учетной записи Майкрософт.

Если вы работаете с локальной учетной записью, используйте в качестве напоминания подсказку о пароле.

Если войти все равно не удается, необходимо переустановить Windows. Что касается переустановки Windows RT 8.1, обратитесь к производителю компьютера.

Дополнительная справка по паролям в Windows 8.1

Если вы забыли или потеряли свой пароль, следуйте инструкциям из раздела Сброс пароля выше, чтобы сбросить или восстановить его.

Если вы думаете, что пароль вашей учетной записи Майкрософт взломан или украден злоумышленником, мы можем помочь. Подробнее см. в разделе Не удается войти в учетную запись Майкрософт.

Да, если вход выполняется только на локальный компьютер. Тем не менее рекомендуется защитить компьютер с помощью надежного пароля. При использовании пароля только пользователь, знающий его, может войти в систему. Пароль необходим, если требуется войти в Windows с учетной записью Майкрософт. Дополнительные сведения см. в документе «Можно ли войти в Windows без пароля?». Дополнительные данные об учетных записях Майкрософт и локальных учетных записях см. в теме «Создание учетной записи пользователя».

Надежные пароли содержат разнообразные символы, в том числе строчные и прописные буквы, цифры и специальные символы или пробелы. Надежный пароль сложно угадать или взломать злоумышленнику. Такой пароль не должен содержать целое слово или данные, которые легко узнать, например ваше реальное имя, имя пользователя или дату рождения.

Пароль для входа с учетной записью Майкрософт может содержать не более 16 символов. Дополнительные сведения об учетных записях Майкрософт см. в статье Создание учетной записи пользователя.

Вы можете регулярно обновлять пароль, чтобы обеспечить лучшую защиту. Если ваш компьютер не подключен к домену, сделайте следующее:

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

Нажмите или щелкните элемент Изменить пароль и следуйте указаниям.

Если компьютер подключен к домену, то системный администратор может задавать период обязательной смены пароля. Чтобы изменить пароль:

Если вы пользуетесь клавиатурой, нажмите клавиши CTRL+ALT+DEL, выберите пункт Сменить пароль и следуйте указаниям.

На планшетном ПК нажмите и удерживайте кнопку Windows, нажмите кнопку питания, а затем выберите команду Сменить пароль и следуйте инструкциям на экране.

Это зависит от того, используете ли вы сторонний электронный адрес. Если ваш адрес электронной почты заканчивается на outlook.com, hotmail.com, live.com или название другой службы Майкрософт, то при изменении пароля учетной записи Майкрософт также изменится пароль в службе электронной почты.

Однако для учетной записи Майкрософт можно использовать любой электронный адрес, в том числе сторонней почтовой веб-службы, такой как Yahoo! или Gmail. При выборе пароля для учетной записи Майкрософт пароль, необходимый для входа на сайт сторонней почтовой веб-службы, не изменяется.

Создайте графический пароль, чтобы входить в систему с помощью жестов, а не ввода символов.

Проведите пальцем от правого края экрана и нажмите кнопку Параметры, а затем выберите пункт Изменение параметров компьютера.
(Если вы используете мышь, найдите правый нижний угол экрана, переместите указатель мыши вверх, щелкните «Параметры» и выберите «Изменить параметры компьютера».)

Выберите элемент Учетные записи, а затем Параметры входа.

В разделе Графический пароль нажмите кнопку Добавить и следуйте указаниям.

Выбирайте для своей учетной записи пользователя такой пароль, который вы сможете запомнить. Он вам еще пригодится!

Конечно, можно записать пароль и хранить его в надежном месте. Тем не менее не стоит приклеивать бумажку с паролем на обратную сторону ноутбука или внутри выдвижного ящика стола. Если вы все-таки решили записать пароль, храните его отдельно от компьютера.

Для большей безопасности рекомендуется использовать разные пароли для разных целей. Например, разумно пользоваться совершенно непохожими паролями для учетной записи в социальной сети и для интернет-банка.

Если вы забыли или потеряли пароль, можно попробовать сбросить или восстановить его несколькими способами. Дополнительные сведения о том, как сбросить или восстановить пароль, представлены в разделе Сброс пароля выше.

Сброс пароля

Компьютер введен в домен

Чтобы начать работу, панель управления,выберите «Учетные записи пользователей», выберите «Учетные записи пользователей», а затем выберите «Управление учетной записью пользователя». Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или подскакийте его.

На вкладке «Пользователи» в разделе Пользователи этого компьютера нажмите имя нужной учетной записи пользователя и выберите Сброс пароля.

Введите новый пароль, подтвердите его и нажмите кнопку ОК.

Компьютер состоит в рабочей группе

При вводе неправильного пароля во время входа в Windows появляется сообщение о том, что пароль неправильный. Нажмите кнопку ОК, чтобы закрыть это сообщение.

Выберите Сброс пароля и вставьте диск или USB-устройство флэш-памяти для сброса пароля.

Следуйте инструкциям мастера сброса пароля, чтобы создать новый пароль.

Войдите в систему с новым паролем. Если вы снова забыли пароль, используйте тот же диск сброса пароля. Создавать новый диск не нужно.

Примечание: Если администратор сбросит ваш пароль, вы можете потерять доступ к некоторым файлам.

Изменение пароля

Нажмите клавиши CTRL+ ALT+ DELETE, а затем выберите пункт Изменить пароль.

Введите старый пароль, затем новый пароль (согласно инструкциям), после чего введите новый пароль еще раз для его подтверждения.

Нажмите клавишу Ввод.

Примечание: Если вы вошли в систему как администратор, вы можете создать или изменить пароли для всех учетных записей пользователей на компьютере.

Предупреждение: Если вы измените пароль для другой учетной записи с помощью учетной записи администратора, то все зашифрованные файлы или электронные сообщения этой другой учетной записи будут недоступны ее пользователю.