Поставщик служб CSP политики — DeviceLock
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
Важно.
Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.
Важно.
Поставщик служб CSP DeviceLock использует подсистему политик Exchange ActiveSync. При применении правил длины и сложности пароля все учетные записи локальных пользователей и администраторов помечаются для изменения пароля при следующем входе, чтобы обеспечить соблюдение требований к сложности. Дополнительные сведения см. в статье Длина и сложность пароля, поддерживаемые типами учетных записей.
AccountLockoutPolicy
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
Пороговое значение блокировки учетной записи. Этот параметр безопасности определяет количество неудачных попыток входа, что приводит к блокировке учетной записи пользователя. Заблокированную учетную запись нельзя использовать до сброса администратором или до истечения срока блокировки для учетной записи. Можно задать значение от 0 до 999 неудачных попыток входа. Если задать значение 0, учетная запись никогда не будет заблокирована. Неудачные попытки ввода пароля на рабочих станциях или рядовых серверах, заблокированных с помощью клавиш CTRL+ALT+DELETE или защищенных паролем заставок, считаются неудачными попытками входа. По умолчанию: 0 Длительность блокировки учетной записи. Этот параметр безопасности определяет количество минут, в течение которых заблокированная учетная запись остается заблокированной до автоматической разблокировки. Доступный диапазон составляет от 0 минут до 99 999 минут. Если задать для параметра длительность блокировки учетной записи значение 0, учетная запись будет заблокирована до тех пор, пока администратор явно не разблокирует ее. Если определено пороговое значение блокировки учетной записи, длительность блокировки учетной записи должна быть больше времени сброса или равна ей. По умолчанию: нет, так как этот параметр политики имеет значение только при указании порогового значения блокировки учетной записи. Сброс счетчика блокировки учетной записи после. Этот параметр безопасности определяет количество минут, которое должно пройти после неудачной попытки входа, прежде чем счетчик неудачной попытки входа будет сброшен до 0 неудачных попыток входа. Доступный диапазон составляет от 1 до 99 999 минут. Если определено пороговое значение блокировки учетной записи, это время сброса должно быть меньше или равно длительности блокировки учетной записи. По умолчанию: нет, так как этот параметр политики имеет значение только при указании порогового значения блокировки учетной записи.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
AllowAdministratorLockout
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout
Разрешить блокировку учетной записи администратора. Этот параметр безопасности определяет, подпадает ли встроенная учетная запись администратора к политике блокировки учетных записей.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Разрешить блокировку учетной записи администратора |
| Путь | Параметры > Windows Параметры безопасности Политики учетных записей > Политика блокировки учетных > записей |
AllowIdleReturnWithoutPassword
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ❌ Enterprise ❌ для образования ❌ Windows SE ❌ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
Указывает, должен ли пользователь вводить ПИН-код или пароль при возобновлении работы устройства из состояния простоя.
Примечание.
В настоящее время эта политика поддерживается только в HoloLens 2, HoloLens (1-го поколения) Commercial Suite и HoloLens (1-го поколения) Development Edition.
Примечание.
Эта политика должна быть заключена в команду Atomic.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AllowScreenTimeoutWhileLockedUserConfig
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
Указывает, следует ли отображать настраиваемый пользователем параметр для управления временем ожидания экрана на экране блокировки Windows 10 Mobile устройств.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 | Разрешить |
| 0 (по умолчанию) | Блокировка. |
AllowSimpleDevicePassword
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword
Указывает, разрешены ли ПИН-коды или пароли, например 1111 или 1234. Для настольных ПК также управляет использованием графических паролей.
Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.
Примечание.
Эта политика должна быть заключена в команду Atomic.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не допускается. |
| 1 (по умолчанию) | Разрешено. |
AlphanumericDevicePasswordRequired
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Определяет тип требуемого ПИН-кода или пароля. Эта политика применяется только в том случае, если для политики DeviceLock/DevicePasswordEnabled задано значение 0.
Примечание.
Если параметр AlphanumericDevicePasswordRequired имеет значение 1 или 2, то MinDevicePasswordLength = 0 и MinDevicePasswordComplexCharacters = 1. Если параметр AlphanumericDevicePasswordRequired имеет значение 0, то MinDevicePasswordLength = 4 и MinDevicePasswordComplexCharacters = 2.
Примечание.
Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков (Домашняя, Pro, Корпоративная и Для образовательных учреждений).
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 2 |
| Зависимость [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Требуется пароль или буквенно-цифровой ПИН-код. |
| 1 | Требуется пароль или числовой ПИН-код. |
| 2 (по умолчанию) | Требуется пароль, числовой ПИН-код или буквенно-цифровой ПИН-код. |
ClearTextPassword
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword
Хранение паролей с помощью обратимого шифрования. Этот параметр безопасности определяет, хранит ли операционная система пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знания пароля пользователя для проверки подлинности. Хранение паролей с использованием обратимого шифрования по сути не отличается от хранения версий паролей в виде открытого текста. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле. Эта политика требуется при использовании проверки подлинности по протоколу Challenge-Handshake (CHAP) через удаленный доступ или службы проверки подлинности в Интернете (IAS). Она также требуется при использовании дайджест-проверки подлинности в службах IIS.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Хранить пароли, используя обратимое шифрование |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
DevicePasswordEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Указывает, включена ли блокировка устройства.
Примечание.
Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.
Важно.
Параметр DevicePasswordEnabled должен иметь значение 0 (пароль устройства включен), чтобы следующие параметры политики вступают в силу:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
Если параметр DevicePasswordEnabled имеет значение 0 (пароль устройства включен), задаются следующие политики:
- MinDevicePasswordLength имеет значение 4
- MinDevicePasswordComplexCharacters имеет значение 1
Если параметр DevicePasswordEnabled имеет значение 1 (пароль устройства отключен), то для следующих политик DeviceLock задано значение 0:
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
DevicePasswordEnabled не должен иметь значение Enabled (0), если WMI используется для настройки политик EAS DeviceLock, учитывая, что он включен по умолчанию в поставщике служб CSP политики для обратной совместимости с Windows 8.x. Если параметр DevicePasswordEnabled имеет значение Enabled(0), поставщик служб CSP политики вернет ошибку о том, что DevicePasswordEnabled уже существует. Windows 8.x не поддерживает политику DevicePassword. При отключении DevicePasswordEnabled (1) он должен быть единственной политикой, заданной из группы политик DeviceLock, перечисленных ниже:
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Включено. |
| 1 (по умолчанию) | Служба отключена. |
DevicePasswordExpiration
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration
Указывает время истечения срока действия пароля (в днях).
Если все значения политики = 0, то 0; В противном случае значение минимальной политики является наиболее безопасным значением.
Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.
Примечание.
Эта политика должна быть заключена в команду Atomic.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-730] |
| Значение по умолчанию | 0 |
| Зависимость [DeviceLock_DevicePasswordExpiration_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
DevicePasswordHistory
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory
Указывает, сколько паролей может храниться в журнале, который нельзя использовать.
Значение включает текущий пароль пользователя. Это значение означает, что с параметром 1 пользователь не может повторно использовать свой текущий пароль при выборе нового пароля, в то время как значение 5 означает, что пользователь не может задать для нового пароля текущий пароль или любой из предыдущих четырех паролей.
Максимальное значение политики является наиболее ограниченным.
Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.
Примечание.
Эта политика должна быть заключена в команду Atomic.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-50] |
| Значение по умолчанию | 0 |
| Зависимость [DeviceLock_DevicePasswordHistory_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
EnforceLockScreenAndLogonImage
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
Указывает экран блокировки по умолчанию и изображение входа, отображаемые, когда пользователь не выполнил вход. Он также задает указанный образ для всех пользователей, который заменяет образ по умолчанию. Одно и то же изображение используется для экранов блокировки и входа. Пользователи не смогут изменить этот образ. Тип значения — это строка, которая представляет собой полный путь к файлу изображения и имя файла.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
EnforceLockScreenProvider
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
MaxDevicePasswordFailedAttempts
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts
Количество сбоев проверки подлинности, разрешенных до очистки устройства. Значение 0 отключает функцию очистки устройства.
Примечание.
Эта политика должна быть заключена в команду Atomic. Эта политика отличается поведением на мобильном устройстве и на рабочем столе. На мобильном устройстве, когда пользователь достигает значения, заданного этой политикой, устройство очищается. На рабочем столе, когда пользователь достигает значения, заданного этой политикой, он не очищается. Вместо этого рабочий стол переводится в режим восстановления BitLocker, что делает данные недоступными, но пригодными для восстановления. Если BitLocker не включен, политика не может быть принудительно применена. Перед достижением предельного числа неудачных попыток пользователь отправляется на экран блокировки и предупреждается, что больше неудачных попыток заблокируют его компьютер. Когда пользователь достигает ограничения, устройство автоматически перезагружается и отображает страницу восстановления BitLocker. На этой странице пользователю предлагается ввести ключ восстановления BitLocker. Наиболее безопасное значение равно 0, если все значения политики = 0; В противном случае значение минимальной политики является наиболее безопасным значением. Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 0 |
| Зависимость [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
MaximumPasswordAge
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge
Этот параметр безопасности определяет период времени (в днях) использования пароля, прежде чем система потребует от пользователя изменить его. Вы можете задать срок действия паролей через несколько дней от 1 до 999 или указать, что срок действия паролей никогда не истекает, установив для числа дней значение 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше максимального срока действия пароля. Если максимальный срок действия пароля равен 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.
Примечание.
Рекомендуется, чтобы срок действия паролей истекал каждые 30–90 дней в зависимости от вашей среды. Таким образом, злоумышленник имеет ограниченное время, чтобы взломать пароль пользователя и получить доступ к сетевым ресурсам. Значение по умолчанию: 42.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 42 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Максимальный срок действия пароля |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
MaxInactivityTimeDeviceLock
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
Указывает максимальное время (в минутах), разрешенное после простоя устройства, которое приведет к блокировке ПИН-кода или пароля. Пользователи могут выбрать любое существующее значение времени ожидания меньше указанного максимального времени в приложении "Параметры".
В HoloLens это время ожидания управляется временем ожидания системы устройства, независимо от значения, заданного этой политикой.
Примечание.
Эта политика должна быть заключена в команду Atomic.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-999] |
| Значение по умолчанию | 0 |
| Зависимость [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
MaxInactivityTimeDeviceLockWithExternalDisplay
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
❌ Pro ❌ Enterprise ❌ для образования ❌ Windows SE ❌ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay
Задает максимальное значение времени ожидания для внешнего дисплея.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [1-999] |
| Значение по умолчанию | 0 |
MinDevicePasswordComplexCharacters
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
Количество сложных типов элементов (прописные и строчные буквы, цифры и знаки препинания), необходимые для надежного ПИН-кода или пароля.
В следующем списке показаны поддерживаемые значения и фактические принудительные значения:
| Тип учетной записи | Поддерживаемые значения | Фактические принудительные значения |
|---|---|---|
| Локальные учетные записи | 1,2,3 | 3 |
| Учетные записи Майкрософт | 1,2 | <p2 |
| Учетные записи домена | Не поддерживается. | Не поддерживается. |
Обязательные значения для локальных учетных записей и учетных записей Майкрософт:
- Локальные учетные записи поддерживают значения 1, 2 и 3, однако всегда применяют значение 3.
- Пароли для локальных учетных записей должны соответствовать следующим минимальным требованиям:
- Не содержат имя учетной записи пользователя или части полного имени пользователя, превышающие два последовательных символа.
- Длина не менее шести символов
- Содержат символы из трех из следующих четырех категорий:
- Прописные символы на английском языке (от A до Z)
- Символы нижнего регистра на английском языке (от a до z)
- Базовые 10 цифр (от 0 до 9)
- Специальные символы (!, $, #, %, и т. д.)
Принудительное применение политик для учетных записей Майкрософт происходит на сервере, и для сервера требуется длина пароля 8 и сложность 2. Значение сложности 3 или 4 не поддерживается, и установка этого значения на сервере делает учетные записи Майкрософт несовместимыми.
Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик и статье базы знаний.
Примечание.
Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] | Тип зависимости: DependsOn DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired Допустимое значение зависимостей: [0] [0] Тип допустимого значения зависимостей: Range Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 1 (по умолчанию) | Только цифры. |
| 2 | Требуются цифры и строчные буквы. |
| 3 | Требуются строчные и прописные буквы. Не поддерживается в классических учетных записях Майкрософт и учетных записях домена. |
| 4 | Требуются строчные буквы, прописные буквы и специальные символы. Не поддерживается на рабочем столе. |
MinDevicePasswordLength
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1507 [10.0.10240] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
Указывает минимальное число или символы, необходимые в ПИН-коде или пароле.
Максимальное значение политики является наиболее ограниченным.
Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик и статье базы знаний.
Примечание.
Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [4-16] |
| Значение по умолчанию | 4 |
| Зависимость [DeviceLock_MinDevicePasswordLength_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Допустимое значение зависимостей: [0] Тип допустимого значения зависимостей: Range |
Пример:
В следующем примере показано, как задать минимальную длину пароля в 4 символа.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
MinimumPasswordAge
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1709 [10.0.16299] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge
Этот параметр безопасности определяет период времени (в днях), который необходимо использовать, прежде чем пользователь сможет изменить пароль. Можно задать значение от 1 до 998 дней или сразу же разрешить изменения, установив для числа дней значение 0. Минимальный срок действия пароля должен быть меньше максимального срока действия пароля, если для максимального срока действия пароля не задано значение 0, что означает, что срок действия паролей никогда не истечет. Если максимальный срок действия пароля равен 0, для минимального возраста пароля можно задать любое значение от 0 до 998. Настройте минимальный возраст пароля больше 0, если требуется применить журнал паролей. Без минимального срока действия пароля пользователи могут повторно использовать пароли, пока не перейдет к старому избранному. Параметр по умолчанию не соответствует этой рекомендации, поэтому администратор может указать пароль для пользователя, а затем потребовать от пользователя изменить пароль, определенный администратором, когда пользователь входит в систему. Если для журнала паролей задано значение 0, пользователю не нужно выбирать новый пароль. По этой причине параметр Принудительно использовать журнал паролей по умолчанию имеет значение 1.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-998] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Минимальный срок действия пароля |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
MinimumPasswordLength
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength
Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Максимальное значение для этого параметра зависит от значения параметра Расслаблять минимальные ограничения длины пароля. Если параметр Расслаблять минимальные ограничения длины пароля не определен, этот параметр может быть настроен от 0 до 14. Если параметр Расслаблять минимальную длину пароля определен и отключен, этот параметр может быть настроен от 0 до 14. Если параметр Расслаблять минимальные ограничения длины пароля определен и включен, этот параметр может быть настроен от 0 до 128. Установка обязательного числа символов в значение 0 означает, что пароль не требуется.
Примечание.
По умолчанию компьютеры-члены следуют конфигурации своих контроллеров домена. Значения по умолчанию: 7 на контроллерах домена, 0 на автономных серверах Настройка этого параметра больше 14 может повлиять на совместимость с клиентами, службами и приложениями. Рекомендуется настраивать этот параметр больше 14 только после использования параметра аудита минимальной длины пароля для проверки потенциальных несовместимости в новом параметре.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-128] |
| Значение по умолчанию | 0 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Минимальная длина пароля |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
MinimumPasswordLengthAudit
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit
Этот параметр безопасности определяет минимальную длину пароля, для которой выдаются события предупреждений аудита длины пароля. Этот параметр можно настроить от 1 до 128. Этот параметр следует включать и настраивать только при попытке определить возможные последствия увеличения минимальной длины пароля в вашей среде. Если этот параметр не определен, события аудита не будут выдаваться. Если этот параметр определен и меньше или равен параметру минимальной длины пароля, события аудита не будут выдаваться. Если этот параметр определен и превышает минимальную длину пароля, а длина нового пароля учетной записи меньше этого параметра, будет выдано событие аудита.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [1-128] |
| Значение по умолчанию | 4294967295 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Аудит минимальной длины пароля |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
PasswordComplexity
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity
Пароль должен соответствовать требованиям к сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям к сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:
- Не содержат имя учетной записи пользователя или части полного имени пользователя, превышающие два последовательных символа.
- Длина не менее шести символов
- Содержат символы из трех из следующих четырех категорий:
- Прописные символы на английском языке (от A до Z)
- Символы нижнего регистра на английском языке (от a до z)
- Базовые 10 цифр (от 0 до 9)
- Символы, отличные от алфавита (например, !, $, #, %)
Требования к сложности применяются при смене или создании паролей.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-1] |
| Значение по умолчанию | 1 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Пароль должен соответствовать требованиям к сложности |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
PasswordHistorySize
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize
Применить журнал паролей. Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повысить безопасность, гарантируя, что старые пароли не будут постоянно использовать повторно. Значение по умолчанию: 24 на контроллерах домена. 0 на автономных серверах.
Примечание.
По умолчанию компьютеры-члены следуют конфигурации своих контроллеров домена. Чтобы сохранить эффективность журнала паролей, не разрешайте изменять пароли сразу после того, как они были только что изменены, также включив параметр безопасности Минимальный возраст паролей. Сведения о параметре политики безопасности минимальный срок действия пароля см. в разделе Минимальный срок действия пароля.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [0-24] |
| Значение по умолчанию | 24 |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Вести журнал паролей |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
PreventEnablingLockScreenCamera
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1803 [10.0.17134] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera
Отключает переключатель камеры блокировки в параметрах компьютера и предотвращает вызов камеры на экране блокировки.
По умолчанию пользователи могут включить вызов доступной камеры на экране блокировки.
Если этот параметр включен, пользователи больше не смогут включать или отключать доступ к камере блокировки в параметрах компьютера, а камера не может быть вызвана на экране блокировки.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | CPL_Personalization_NoLockScreenCamera |
| Понятное имя | Запретить включение камеры с экрана блокировки |
| Location | Конфигурация компьютера |
| Путь | > Персонализация панель управления |
| Имя раздела реестра | Software\Policies\Microsoft\Windows\Personalization |
| Имя значения реестра | NoLockScreenCamera |
| Имя файла ADMX | ControlPanelDisplay.admx |
PreventLockScreenSlideShow
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
Отключает параметры слайд-шоу на экране блокировки в параметрах компьютера и предотвращает воспроизведение слайд-шоу на экране блокировки.
По умолчанию пользователи могут включить слайд-шоу, которое будет выполняться после блокировки компьютера.
Если этот параметр включен, пользователи больше не смогут изменять параметры слайд-шоу в параметрах компьютера, и слайд-шоу никогда не будет запущено.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | CPL_Personalization_NoLockScreenSlideshow |
| Понятное имя | Запретить включение слайд-шоу с экрана блокировки |
| Location | Конфигурация компьютера |
| Путь | > Персонализация панель управления |
| Имя раздела реестра | Software\Policies\Microsoft\Windows\Personalization |
| Имя значения реестра | NoLockScreenSlideshow |
| Имя файла ADMX | ControlPanelDisplay.admx |
RelaxMinimumPasswordLengthLimits
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits
Этот параметр определяет, можно ли увеличить минимальную длину пароля после устаревшего ограничения 14. Если этот параметр не определен, минимальная длина пароля может быть настроена не более 14. Если этот параметр определен и отключен, минимальная длина пароля может быть настроена не более 14. Если этот параметр определен и включен, минимальная длина пароля может быть настроена более 14.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | Ослабить минимальную длину пароля |
| Путь | Параметры > Windows Параметры безопасности Политики паролей учетных записей >> |
ScreenTimeoutWhileLocked
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1607 [10.0.14393] и более поздние |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked
Указывает, следует ли отображать настраиваемый пользователем параметр для управления временем ожидания экрана на экране блокировки Windows 10 Mobile устройств.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Диапазон: [10-1800] |
| Значение по умолчанию | 10 |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по