Поделиться через


Поставщик служб CSP политики — DeviceLock

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

Важно.

Поставщик служб CSP DeviceLock использует подсистему политик Exchange ActiveSync. При применении правил длины и сложности пароля все учетные записи локальных пользователей и администраторов помечаются для изменения пароля при следующем входе, чтобы обеспечить соблюдение требований к сложности. Дополнительные сведения см. в статье Длина и сложность пароля, поддерживаемые типами учетных записей.

AccountLockoutPolicy

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

Пороговое значение блокировки учетной записи. Этот параметр безопасности определяет количество неудачных попыток входа, что приводит к блокировке учетной записи пользователя. Заблокированную учетную запись нельзя использовать до сброса администратором или до истечения срока блокировки для учетной записи. Можно задать значение от 0 до 999 неудачных попыток входа. Если задать значение 0, учетная запись никогда не будет заблокирована. Неудачные попытки ввода пароля на рабочих станциях или рядовых серверах, заблокированных с помощью клавиш CTRL+ALT+DELETE или защищенных паролем заставок, считаются неудачными попытками входа. По умолчанию: 0 Длительность блокировки учетной записи. Этот параметр безопасности определяет количество минут, в течение которых заблокированная учетная запись остается заблокированной до автоматической разблокировки. Доступный диапазон составляет от 0 минут до 99 999 минут. Если задать для параметра длительность блокировки учетной записи значение 0, учетная запись будет заблокирована до тех пор, пока администратор явно не разблокирует ее. Если определено пороговое значение блокировки учетной записи, длительность блокировки учетной записи должна быть больше времени сброса или равна ей. По умолчанию: нет, так как этот параметр политики имеет значение только при указании порогового значения блокировки учетной записи. Сброс счетчика блокировки учетной записи после. Этот параметр безопасности определяет количество минут, которое должно пройти после неудачной попытки входа, прежде чем счетчик неудачной попытки входа будет сброшен до 0 неудачных попыток входа. Доступный диапазон составляет от 1 до 99 999 минут. Если определено пороговое значение блокировки учетной записи, это время сброса должно быть меньше или равно длительности блокировки учетной записи. По умолчанию: нет, так как этот параметр политики имеет значение только при указании порогового значения блокировки учетной записи.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

AllowAdministratorLockout

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

Разрешить блокировку учетной записи администратора. Этот параметр безопасности определяет, подпадает ли встроенная учетная запись администратора к политике блокировки учетных записей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-1]
Значение по умолчанию 1

Сопоставление групповой политики:

Имя Значение
Имя Разрешить блокировку учетной записи администратора
Путь Параметры > Windows Параметры безопасности Политики учетных записей > Политика блокировки учетных > записей

AllowIdleReturnWithoutPassword

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
❌ Pro
❌ Enterprise
❌ для образования
❌ Windows SE
❌ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

Указывает, должен ли пользователь вводить ПИН-код или пароль при возобновлении работы устройства из состояния простоя.

Примечание.

В настоящее время эта политика поддерживается только в HoloLens 2, HoloLens (1-го поколения) Commercial Suite и HoloLens (1-го поколения) Development Edition.

Примечание.

Эта политика должна быть заключена в команду Atomic.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AllowScreenTimeoutWhileLockedUserConfig

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

Указывает, следует ли отображать настраиваемый пользователем параметр для управления временем ожидания экрана на экране блокировки Windows 10 Mobile устройств.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
1 Разрешить
0 (по умолчанию) Блокировка.

AllowSimpleDevicePassword

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

Указывает, разрешены ли ПИН-коды или пароли, например 1111 или 1234. Для настольных ПК также управляет использованием графических паролей.

Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.

Примечание.

Эта политика должна быть заключена в команду Atomic.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не допускается.
1 (по умолчанию) Разрешено.

AlphanumericDevicePasswordRequired

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

Определяет тип требуемого ПИН-кода или пароля. Эта политика применяется только в том случае, если для политики DeviceLock/DevicePasswordEnabled задано значение 0.

Примечание.

Если параметр AlphanumericDevicePasswordRequired имеет значение 1 или 2, то MinDevicePasswordLength = 0 и MinDevicePasswordComplexCharacters = 1. Если параметр AlphanumericDevicePasswordRequired имеет значение 0, то MinDevicePasswordLength = 4 и MinDevicePasswordComplexCharacters = 2.

Примечание.

Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков (Домашняя, Pro, Корпоративная и Для образовательных учреждений).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 2
Зависимость [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Требуется пароль или буквенно-цифровой ПИН-код.
1 Требуется пароль или числовой ПИН-код.
2 (по умолчанию) Требуется пароль, числовой ПИН-код или буквенно-цифровой ПИН-код.

ClearTextPassword

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

Хранение паролей с помощью обратимого шифрования. Этот параметр безопасности определяет, хранит ли операционная система пароли с использованием обратимого шифрования. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знания пароля пользователя для проверки подлинности. Хранение паролей с использованием обратимого шифрования по сути не отличается от хранения версий паролей в виде открытого текста. По этой причине эту политику никогда не следует включать, если только требования приложения не перевешивают необходимость защиты информации о пароле. Эта политика требуется при использовании проверки подлинности по протоколу Challenge-Handshake (CHAP) через удаленный доступ или службы проверки подлинности в Интернете (IAS). Она также требуется при использовании дайджест-проверки подлинности в службах IIS.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-1]
Значение по умолчанию 0

Сопоставление групповой политики:

Имя Значение
Имя Хранить пароли, используя обратимое шифрование
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

DevicePasswordEnabled

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

Указывает, включена ли блокировка устройства.

Примечание.

Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.

Важно.

Параметр DevicePasswordEnabled должен иметь значение 0 (пароль устройства включен), чтобы следующие параметры политики вступают в силу:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

Если параметр DevicePasswordEnabled имеет значение 0 (пароль устройства включен), задаются следующие политики:

  • MinDevicePasswordLength имеет значение 4
  • MinDevicePasswordComplexCharacters имеет значение 1

Если параметр DevicePasswordEnabled имеет значение 1 (пароль устройства отключен), то для следующих политик DeviceLock задано значение 0:

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

DevicePasswordEnabled не должен иметь значение Enabled (0), если WMI используется для настройки политик EAS DeviceLock, учитывая, что он включен по умолчанию в поставщике служб CSP политики для обратной совместимости с Windows 8.x. Если параметр DevicePasswordEnabled имеет значение Enabled(0), поставщик служб CSP политики вернет ошибку о том, что DevicePasswordEnabled уже существует. Windows 8.x не поддерживает политику DevicePassword. При отключении DevicePasswordEnabled (1) он должен быть единственной политикой, заданной из группы политик DeviceLock, перечисленных ниже:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

Примечание.

DevicePasswordExpiration не поддерживается через MDMWinsOverGP.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Включено.
1 (по умолчанию) Служба отключена.

DevicePasswordExpiration

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

Указывает время истечения срока действия пароля (в днях).

Если все значения политики = 0, то 0; В противном случае значение минимальной политики является наиболее безопасным значением.

Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.

Примечание.

Эта политика должна быть заключена в команду Atomic.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-730]
Значение по умолчанию 0
Зависимость [DeviceLock_DevicePasswordExpiration_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

DevicePasswordHistory

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

Указывает, сколько паролей может храниться в журнале, который нельзя использовать.

Значение включает текущий пароль пользователя. Это значение означает, что с параметром 1 пользователь не может повторно использовать свой текущий пароль при выборе нового пароля, в то время как значение 5 означает, что пользователь не может задать для нового пароля текущий пароль или любой из предыдущих четырех паролей.

Максимальное значение политики является наиболее ограниченным.

Дополнительные сведения об этой политике см. в разделе Общие сведения об Exchange ActiveSync обработчике политик.

Примечание.

Эта политика должна быть заключена в команду Atomic.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-50]
Значение по умолчанию 0
Зависимость [DeviceLock_DevicePasswordHistory_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

EnforceLockScreenAndLogonImage

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Указывает экран блокировки по умолчанию и изображение входа, отображаемые, когда пользователь не выполнил вход. Он также задает указанный образ для всех пользователей, который заменяет образ по умолчанию. Одно и то же изображение используется для экранов блокировки и входа. Пользователи не смогут изменить этот образ. Тип значения — это строка, которая представляет собой полный путь к файлу изображения и имя файла.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

EnforceLockScreenProvider

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

MaxDevicePasswordFailedAttempts

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

Количество сбоев проверки подлинности, разрешенных до очистки устройства. Значение 0 отключает функцию очистки устройства.

Примечание.

Эта политика должна быть заключена в команду Atomic. Эта политика отличается поведением на мобильном устройстве и на рабочем столе. На мобильном устройстве, когда пользователь достигает значения, заданного этой политикой, устройство очищается. На рабочем столе, когда пользователь достигает значения, заданного этой политикой, он не очищается. Вместо этого рабочий стол переводится в режим восстановления BitLocker, что делает данные недоступными, но пригодными для восстановления. Если BitLocker не включен, политика не может быть принудительно применена. Перед достижением предельного числа неудачных попыток пользователь отправляется на экран блокировки и предупреждается, что больше неудачных попыток заблокируют его компьютер. Когда пользователь достигает ограничения, устройство автоматически перезагружается и отображает страницу восстановления BitLocker. На этой странице пользователю предлагается ввести ключ восстановления BitLocker. Наиболее безопасное значение равно 0, если все значения политики = 0; В противном случае значение минимальной политики является наиболее безопасным значением. Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-999]
Значение по умолчанию 0
Зависимость [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

MaximumPasswordAge

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

Этот параметр безопасности определяет период времени (в днях) использования пароля, прежде чем система потребует от пользователя изменить его. Вы можете задать срок действия паролей через несколько дней от 1 до 999 или указать, что срок действия паролей никогда не истекает, установив для числа дней значение 0. Если максимальный срок действия пароля составляет от 1 до 999 дней, минимальный срок действия пароля должен быть меньше максимального срока действия пароля. Если максимальный срок действия пароля равен 0, минимальный срок действия пароля может быть любым значением от 0 до 998 дней.

Примечание.

Рекомендуется, чтобы срок действия паролей истекал каждые 30–90 дней в зависимости от вашей среды. Таким образом, злоумышленник имеет ограниченное время, чтобы взломать пароль пользователя и получить доступ к сетевым ресурсам. Значение по умолчанию: 42.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-999]
Значение по умолчанию 42

Сопоставление групповой политики:

Имя Значение
Имя Максимальный срок действия пароля
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

MaxInactivityTimeDeviceLock

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

Указывает максимальное время (в минутах), разрешенное после простоя устройства, которое приведет к блокировке ПИН-кода или пароля. Пользователи могут выбрать любое существующее значение времени ожидания меньше указанного максимального времени в приложении "Параметры".

В HoloLens это время ожидания управляется временем ожидания системы устройства, независимо от значения, заданного этой политикой.

Примечание.

Эта политика должна быть заключена в команду Atomic.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-999]
Значение по умолчанию 0
Зависимость [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

MaxInactivityTimeDeviceLockWithExternalDisplay

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
❌ Pro
❌ Enterprise
❌ для образования
❌ Windows SE
❌ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

Задает максимальное значение времени ожидания для внешнего дисплея.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [1-999]
Значение по умолчанию 0

MinDevicePasswordComplexCharacters

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

Количество сложных типов элементов (прописные и строчные буквы, цифры и знаки препинания), необходимые для надежного ПИН-кода или пароля.

В следующем списке показаны поддерживаемые значения и фактические принудительные значения:

Тип учетной записи Поддерживаемые значения Фактические принудительные значения
Локальные учетные записи 1,2,3 3
Учетные записи Майкрософт 1,2 <p2
Учетные записи домена Не поддерживается. Не поддерживается.

Обязательные значения для локальных учетных записей и учетных записей Майкрософт:

  • Локальные учетные записи поддерживают значения 1, 2 и 3, однако всегда применяют значение 3.
  • Пароли для локальных учетных записей должны соответствовать следующим минимальным требованиям:
    • Не содержат имя учетной записи пользователя или части полного имени пользователя, превышающие два последовательных символа.
    • Длина не менее шести символов
    • Содержат символы из трех из следующих четырех категорий:
      • Прописные символы на английском языке (от A до Z)
      • Символы нижнего регистра на английском языке (от a до z)
      • Базовые 10 цифр (от 0 до 9)
      • Специальные символы (!, $, #, %, и т. д.)

Принудительное применение политик для учетных записей Майкрософт происходит на сервере, и для сервера требуется длина пароля 8 и сложность 2. Значение сложности 3 или 4 не поддерживается, и установка этого значения на сервере делает учетные записи Майкрософт несовместимыми.

Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик и статье базы знаний.

Примечание.

Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] Тип зависимости: DependsOn DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
Допустимое значение зависимостей: [0] [0]
Тип допустимого значения зависимостей: Range Range

Допустимые значения:

Значение Описание
1 (по умолчанию) Только цифры.
2 Требуются цифры и строчные буквы.
3 Требуются строчные и прописные буквы. Не поддерживается в классических учетных записях Майкрософт и учетных записях домена.
4 Требуются строчные буквы, прописные буквы и специальные символы. Не поддерживается на рабочем столе.

MinDevicePasswordLength

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1507 [10.0.10240] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

Указывает минимальное число или символы, необходимые в ПИН-коде или пароле.

Максимальное значение политики является наиболее ограниченным.

Дополнительные сведения об этой политике см. в статье Общие сведения об Exchange ActiveSync обработчике политик и статье базы знаний.

Примечание.

Эта политика должна быть заключена в команду Atomic. Всегда используйте команду Заменить вместо добавить для этой политики в Windows для классических выпусков.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [4-16]
Значение по умолчанию 4
Зависимость [DeviceLock_MinDevicePasswordLength_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
Допустимое значение зависимостей: [0]
Тип допустимого значения зависимостей: Range

Пример:

В следующем примере показано, как задать минимальную длину пароля в 4 символа.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1709 [10.0.16299] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

Этот параметр безопасности определяет период времени (в днях), который необходимо использовать, прежде чем пользователь сможет изменить пароль. Можно задать значение от 1 до 998 дней или сразу же разрешить изменения, установив для числа дней значение 0. Минимальный срок действия пароля должен быть меньше максимального срока действия пароля, если для максимального срока действия пароля не задано значение 0, что означает, что срок действия паролей никогда не истечет. Если максимальный срок действия пароля равен 0, для минимального возраста пароля можно задать любое значение от 0 до 998. Настройте минимальный возраст пароля больше 0, если требуется применить журнал паролей. Без минимального срока действия пароля пользователи могут повторно использовать пароли, пока не перейдет к старому избранному. Параметр по умолчанию не соответствует этой рекомендации, поэтому администратор может указать пароль для пользователя, а затем потребовать от пользователя изменить пароль, определенный администратором, когда пользователь входит в систему. Если для журнала паролей задано значение 0, пользователю не нужно выбирать новый пароль. По этой причине параметр Принудительно использовать журнал паролей по умолчанию имеет значение 1.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-998]
Значение по умолчанию 1

Сопоставление групповой политики:

Имя Значение
Имя Минимальный срок действия пароля
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

MinimumPasswordLength

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

Этот параметр безопасности определяет наименьшее количество символов, которое может содержать пароль для учетной записи пользователя. Максимальное значение для этого параметра зависит от значения параметра Расслаблять минимальные ограничения длины пароля. Если параметр Расслаблять минимальные ограничения длины пароля не определен, этот параметр может быть настроен от 0 до 14. Если параметр Расслаблять минимальную длину пароля определен и отключен, этот параметр может быть настроен от 0 до 14. Если параметр Расслаблять минимальные ограничения длины пароля определен и включен, этот параметр может быть настроен от 0 до 128. Установка обязательного числа символов в значение 0 означает, что пароль не требуется.

Примечание.

По умолчанию компьютеры-члены следуют конфигурации своих контроллеров домена. Значения по умолчанию: 7 на контроллерах домена, 0 на автономных серверах Настройка этого параметра больше 14 может повлиять на совместимость с клиентами, службами и приложениями. Рекомендуется настраивать этот параметр больше 14 только после использования параметра аудита минимальной длины пароля для проверки потенциальных несовместимости в новом параметре.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-128]
Значение по умолчанию 0

Сопоставление групповой политики:

Имя Значение
Имя Минимальная длина пароля
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

MinimumPasswordLengthAudit

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

Этот параметр безопасности определяет минимальную длину пароля, для которой выдаются события предупреждений аудита длины пароля. Этот параметр можно настроить от 1 до 128. Этот параметр следует включать и настраивать только при попытке определить возможные последствия увеличения минимальной длины пароля в вашей среде. Если этот параметр не определен, события аудита не будут выдаваться. Если этот параметр определен и меньше или равен параметру минимальной длины пароля, события аудита не будут выдаваться. Если этот параметр определен и превышает минимальную длину пароля, а длина нового пароля учетной записи меньше этого параметра, будет выдано событие аудита.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [1-128]
Значение по умолчанию 4294967295

Сопоставление групповой политики:

Имя Значение
Имя Аудит минимальной длины пароля
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

PasswordComplexity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

Пароль должен соответствовать требованиям к сложности. Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям к сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:

  • Не содержат имя учетной записи пользователя или части полного имени пользователя, превышающие два последовательных символа.
  • Длина не менее шести символов
  • Содержат символы из трех из следующих четырех категорий:
    • Прописные символы на английском языке (от A до Z)
    • Символы нижнего регистра на английском языке (от a до z)
    • Базовые 10 цифр (от 0 до 9)
    • Символы, отличные от алфавита (например, !, $, #, %)

Требования к сложности применяются при смене или создании паролей.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-1]
Значение по умолчанию 1

Сопоставление групповой политики:

Имя Значение
Имя Пароль должен соответствовать требованиям к сложности
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

PasswordHistorySize

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

Применить журнал паролей. Этот параметр безопасности определяет количество уникальных новых паролей, которые необходимо связать с учетной записью пользователя, прежде чем можно будет повторно использовать старый пароль. Значение должно быть от 0 до 24 паролей. Эта политика позволяет администраторам повысить безопасность, гарантируя, что старые пароли не будут постоянно использовать повторно. Значение по умолчанию: 24 на контроллерах домена. 0 на автономных серверах.

Примечание.

По умолчанию компьютеры-члены следуют конфигурации своих контроллеров домена. Чтобы сохранить эффективность журнала паролей, не разрешайте изменять пароли сразу после того, как они были только что изменены, также включив параметр безопасности Минимальный возраст паролей. Сведения о параметре политики безопасности минимальный срок действия пароля см. в разделе Минимальный срок действия пароля.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [0-24]
Значение по умолчанию 24

Сопоставление групповой политики:

Имя Значение
Имя Вести журнал паролей
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

PreventEnablingLockScreenCamera

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

Отключает переключатель камеры блокировки в параметрах компьютера и предотвращает вызов камеры на экране блокировки.

По умолчанию пользователи могут включить вызов доступной камеры на экране блокировки.

Если этот параметр включен, пользователи больше не смогут включать или отключать доступ к камере блокировки в параметрах компьютера, а камера не может быть вызвана на экране блокировки.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя CPL_Personalization_NoLockScreenCamera
Понятное имя Запретить включение камеры с экрана блокировки
Location Конфигурация компьютера
Путь > Персонализация панель управления
Имя раздела реестра Software\Policies\Microsoft\Windows\Personalization
Имя значения реестра NoLockScreenCamera
Имя файла ADMX ControlPanelDisplay.admx

PreventLockScreenSlideShow

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

Отключает параметры слайд-шоу на экране блокировки в параметрах компьютера и предотвращает воспроизведение слайд-шоу на экране блокировки.

По умолчанию пользователи могут включить слайд-шоу, которое будет выполняться после блокировки компьютера.

Если этот параметр включен, пользователи больше не смогут изменять параметры слайд-шоу в параметрах компьютера, и слайд-шоу никогда не будет запущено.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя CPL_Personalization_NoLockScreenSlideshow
Понятное имя Запретить включение слайд-шоу с экрана блокировки
Location Конфигурация компьютера
Путь > Персонализация панель управления
Имя раздела реестра Software\Policies\Microsoft\Windows\Personalization
Имя значения реестра NoLockScreenSlideshow
Имя файла ADMX ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

Этот параметр определяет, можно ли увеличить минимальную длину пароля после устаревшего ограничения 14. Если этот параметр не определен, минимальная длина пароля может быть настроена не более 14. Если этот параметр определен и отключен, минимальная длина пароля может быть настроена не более 14. Если этот параметр определен и включен, минимальная длина пароля может быть настроена более 14.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Сопоставление групповой политики:

Имя Значение
Имя Ослабить минимальную длину пароля
Путь Параметры > Windows Параметры безопасности Политики паролей учетных записей >>

ScreenTimeoutWhileLocked

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1607 [10.0.14393] и более поздние
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

Указывает, следует ли отображать настраиваемый пользователем параметр для управления временем ожидания экрана на экране блокировки Windows 10 Mobile устройств.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Диапазон: [10-1800]
Значение по умолчанию 10

Поставщик служб конфигурации политики