策略 CSP - DeviceLock

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

重要提示

DeviceLock CSP 利用Exchange ActiveSync策略引擎。 应用密码长度和复杂性规则时,所有本地用户和管理员帐户都会标记为在下一次登录时更改其密码,以确保满足复杂性要求。 有关详细信息,请参阅 帐户类型支持的密码长度和复杂性

AccountLockoutPolicy

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy

帐户锁定阈值 - 此安全设置确定导致用户帐户被锁定的失败登录尝试次数。在管理员重置或帐户的锁定持续时间过期之前,无法使用锁定的帐户。 可以将失败的登录尝试设置为 0 到 999 之间的值。 如果将值设置为 0,则永远不会锁定帐户。对已使用 CTRL+Alt+DELETE 或受密码保护的屏幕保护程序锁定的工作站或成员服务器的密码尝试失败将计为登录尝试失败。 默认值:0 帐户锁定持续时间 - 此安全设置确定锁定的帐户在自动解锁之前保持锁定状态的分钟数。 可用范围为 0 分钟到 99,999 分钟。 如果将帐户锁定持续时间设置为 0,则帐户将被锁定,直到管理员将其显式解锁。 如果定义了帐户锁定阈值,则帐户锁定持续时间必须大于或等于重置时间。 默认值:无,因为此策略设置仅在指定帐户锁定阈值时才有意义。 在之后重置帐户锁定计数器 - 此安全设置确定在失败的登录尝试将失败的登录尝试计数器重置为 0 次错误的登录尝试之前必须经过的分钟数。 可用范围为 1 分钟到 99,999 分钟。 如果定义了帐户锁定阈值,则此重置时间必须小于或等于帐户锁定持续时间。 默认值:无,因为此策略设置仅在指定帐户锁定阈值时才有意义。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

AllowAdministratorLockout

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout

允许管理员帐户锁定 此安全设置确定内置管理员帐户是否受帐户锁定策略的约束。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-1]
默认值 1

组策略映射:

名称
名称 允许管理员帐户锁定
路径 Windows 设置 > 安全设置 > 帐户策略 > 帐户锁定策略

AllowIdleReturnWithoutPassword

范围 版本 适用的操作系统
✅ 设备
❌ 用户
❌ 专业版
❌ 企业版
❌ 教育版
❌ Windows SE
❌ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword

指定在设备从空闲状态恢复时用户是否必须输入 PIN 或密码。

注意

目前,此策略仅在 HoloLens 2、HoloLens (第一代) 商业套件和 HoloLens (第一代) 开发版中受支持。

注意

此策略必须包装在 Atomic 命令中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1
依赖项 [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

允许的值:

描述
0 不允许。
1 (默认) 允许。

AllowScreenTimeoutWhileLockedUserConfig

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig

指定是否显示用户可配置的设置,以在Windows 10 移动版设备的锁屏界面上控制屏幕超时。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

描述
1 允许。
0(默认值) 阻止。

AllowSimpleDevicePassword

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword

指定是否允许 PIN 或密码(如 1111 或 1234)。 对于桌面版,它还可以控制图片密码的使用。

有关此策略的详细信息,请参阅Exchange ActiveSync策略引擎概述

注意

此策略必须包装在 Atomic 命令中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1
依赖项 [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

允许的值:

描述
0 不允许。
1 (默认) 允许。

AlphanumericDevicePasswordRequired

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired

确定所需的 PIN 或密码类型。 仅当 DeviceLock/DevicePasswordEnabled 策略设置为 0 时,此策略才适用。

注意

如果 AlphanumericDevicePasswordRequired 设置为 1 或 2,则 MinDevicePasswordLength = 0,MinDevicePasswordComplexCharacters = 1。 如果 AlphanumericDevicePasswordRequired 设置为 0,则 MinDevicePasswordLength = 4,MinDevicePasswordComplexCharacters = 2。

注意

此策略必须包装在 Atomic 命令中。 在 Windows 中,对于桌面版 (家庭版、专业版、企业版和教育版) ,始终使用 Replace 命令而不是添加此策略。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 2
依赖项 [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

允许的值:

描述
0 需要密码或字母数字 PIN。
1 需要密码或数字 PIN。
2 (默认) 需要密码、数字 PIN 或字母数字 PIN。

ClearTextPassword

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword

使用可逆加密存储密码 此安全设置确定操作系统是否使用可逆加密存储密码。 此策略支持使用需要知道用户密码的协议进行身份验证的应用程序。 使用可逆加密存储密码实质上与存储密码的纯文本版本相同。 因此,除非应用程序要求超过保护密码信息的需求,否则不应启用此策略。 使用 Challenge-Handshake 身份验证协议 (CHAP) 通过远程访问或 Internet 身份验证服务 (IAS) 进行身份验证时,需要此策略。 在 Internet Information Services (IIS) 中使用摘要式身份验证时,也需要此身份验证。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-1]
默认值 0

组策略映射:

名称
名称 用可还原的加密来存储密码
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

DevicePasswordEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled

指定是否启用设备锁定。

注意

此策略必须包装在 Atomic 命令中。 在 Windows 桌面版中,始终使用此策略的“替换”命令而不是“添加”。

重要提示

devicePasswordEnabled 设置必须设置为 0 (启用设备密码) 才能使以下策略设置生效:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock
  • MinDevicePasswordComplexCharacters

如果 devicePasswordEnabled 设置为 0 (启用设备密码) ,则会设置以下策略:

  • MinDevicePasswordLength 设置为 4
  • MinDevicePasswordComplexCharacters 设置为 1

如果 devicePasswordEnabled 设置为 1 (设备密码) 禁用,则以下 DeviceLock 策略设置为 0:

  • MinDevicePasswordLength
  • MinDevicePasswordComplexCharacters

当使用 WMI 设置 EAS DeviceLock 策略时,不应将 DevicePasswordEnabled 设置为 Enabled (0) ,因为它在策略 CSP 中默认处于启用状态,以便与 Windows 8.x 向后兼容。 如果将 DevicePasswordEnabled 设置为 Enabled (0) 则 Policy CSP 将返回错误,指出 DevicePasswordEnabled 已存在。 Windows 8.x 不支持 DevicePassword 策略。 禁用 DevicePasswordEnabled (1) 时,它应该是下面列出的 DeviceLock 组中唯一设置的策略:

  • AllowSimpleDevicePassword
  • MinDevicePasswordLength
  • AlphanumericDevicePasswordRequired
  • MinDevicePasswordComplexCharacters
  • DevicePasswordExpiration
  • DevicePasswordHistory
  • MaxDevicePasswordFailedAttempts
  • MaxInactivityTimeDeviceLock

注意

MDMWinsOverGP 不支持 DevicePasswordExpiration。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 已启用。
1 (默认) 已禁用。

DevicePasswordExpiration

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration

指定密码在) 天 (过期的时间。

如果所有策略值都 = 0,则为 0;否则,最小策略值是最安全的值。

有关此策略的详细信息,请参阅Exchange ActiveSync策略引擎概述

注意

此策略必须包装在 Atomic 命令中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-730]
默认值 0
依赖项 [DeviceLock_DevicePasswordExpiration_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

DevicePasswordHistory

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory

指定在历史记录中可以存储多少个不能使用的密码。

该值包括用户的当前密码。 此值表示设置为 1 时,用户在选择新密码时不能重用其当前密码,而设置为 5 表示用户无法将其新密码设置为当前密码或之前四个密码中的任何一个。

最大策略值限制最大。

有关此策略的详细信息,请参阅Exchange ActiveSync策略引擎概述

注意

此策略必须包装在 Atomic 命令中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-50]
默认值 0
依赖项 [DeviceLock_DevicePasswordHistory_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

EnforceLockScreenAndLogonImage

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

指定未登录用户时显示的默认锁屏界面和登录图像。 它还为所有用户设置指定的映像,这将替换默认映像。 锁屏和登录屏幕使用相同的图像。 用户将无法更改此图像。 值类型是一个字符串,即完整的图像文件路径和文件名。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

EnforceLockScreenProvider

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

MaxDevicePasswordFailedAttempts

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts

擦除设备之前允许的身份验证失败次数。 值为 0 会禁用设备擦除功能。

注意

此策略必须包装在 Atomic 命令中。 此策略在移动设备和桌面上具有不同的行为。 在移动设备上,当用户达到此策略设置的值时,将擦除设备。 在桌面上,当用户达到此策略设置的值时,不会擦除该值。 相反,桌面处于 BitLocker 恢复模式,这使得数据不可访问,但可恢复。 如果未启用 BitLocker,则无法强制实施该策略。 在达到失败尝试限制之前,用户会被发送到锁屏界面,并警告更多失败的尝试将锁定其计算机。 当用户达到限制时,设备会自动重新启动并显示 BitLocker 恢复页。 此页面提示用户输入 BitLocker 恢复密钥。 如果所有策略值都 = 0,则最安全值为 0;否则,最小策略值是最安全的值。 有关此策略的其他信息,请参阅Exchange ActiveSync策略引擎概述

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-999]
默认值 0
依赖项 [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

MaximumPasswordAge

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge

此安全设置确定 (天数) 系统要求用户更改密码之前可以使用密码的时间段。 可以将密码设置为在 1 到 999 之间的天数后过期,也可以通过将天数设置为 0 来指定密码永不过期。 如果最长密码期限在 1 到 999 天之间,则最短密码期限必须小于密码最长期限。 如果最长密码期限设置为 0,则最短密码期限可以是 0 到 998 天之间的任意值。

注意

安全最佳做法是,密码每 30 到 90 天过期一次,具体取决于你的环境。 这样,攻击者在破解用户密码并有权访问网络资源的时间有限。 默认值:42。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-999]
默认值 42

组策略映射:

名称
名称 最长密码使用期限
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

MaxInactivityTimeDeviceLock

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock

指定设备空闲后允许 (的最大时间(以分钟为单位),) 导致设备成为 PIN 或密码锁定。 用户可以在“设置”应用中选择小于指定最长时间的任何现有超时值。

在 HoloLens 上,无论此策略设置的值如何,此超时都由设备的系统睡眠超时控制。

注意

此策略必须包装在 Atomic 命令中。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-999]
默认值 0
依赖项 [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

MaxInactivityTimeDeviceLockWithExternalDisplay

范围 版本 适用的操作系统
✅ 设备
❌ 用户
❌ 专业版
❌ 企业版
❌ 教育版
❌ Windows SE
❌ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay

设置外部显示的最大超时值。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [1-999]
默认值 0

MinDevicePasswordComplexCharacters

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters

强 PIN 或密码所需的复杂元素类型 (大写和小写字母、数字和标点符号) 。

以下列表显示了支持的值和实际强制实施的值:

帐户类型 支持的值 实际强制值
本地帐户 1,2,3 3
Microsoft 帐户 1,2 <p2
域帐户 不支持 不支持

本地帐户和Microsoft帐户的强制值:

  • 本地帐户支持值 1、2 和 3,但它们始终强制实施值 3。
  • 本地帐户的密码必须满足以下最低要求:
    • 不包含超过两个连续字符的用户帐户名或部分用户全名
    • 长度至少为 6 个字符
    • 包含以下四个类别中的三个类别中的字符:
      • 英语大写字符 (A 到 Z)
      • 英语小写字符 (到 z)
      • (0 到 9)
      • 特殊字符 (!、$、#、% 等 )

Microsoft帐户的策略强制执行发生在服务器上,服务器要求密码长度为 8,复杂度为 2。 不支持复杂性值 3 或 4,在服务器上设置此值会使Microsoft帐户不合规。

有关此策略的详细信息,请参阅Exchange ActiveSync策略引擎概述知识库文章

注意

此策略必须包装在 Atomic 命令中。 在 Windows 桌面版中,始终使用此策略的“替换”命令而不是“添加”。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1
依赖项 [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] 依赖项类型: DependsOn DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
依赖项允许值: [0] [0]
依赖项允许值类型: Range Range

允许的值:

描述
1 (默认) 仅限数字。
2 需要数字和小写字母。
3 数字小写字母和大写字母是必需的。 桌面Microsoft帐户和域帐户不支持。
4 数字小写字母大写字母和特殊字符是必需的。 桌面版不支持。

MinDevicePasswordLength

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1507 [10.0.10240] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength

指定 PIN 或密码中所需的最小数目或字符数。

最大策略值限制最大。

有关此策略的详细信息,请参阅Exchange ActiveSync策略引擎概述知识库文章

注意

此策略必须包装在 Atomic 命令中。 在 Windows 桌面版中,始终使用此策略的“替换”命令而不是“添加”。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [4-16]
默认值 4
依赖项 [DeviceLock_MinDevicePasswordLength_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
依赖项允许值: [0]
依赖项允许值类型: Range

示例

以下示例演示如何将最小密码长度设置为 4 个字符。

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>4</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

MinimumPasswordAge

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1709 [10.0.16299] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge

此安全设置确定 (天数) 用户更改密码之前必须使用密码的时间段。 可以将值设置为 1 到 998 天,也可以通过将天数设置为 0 来立即允许更改。 最短密码期限必须小于最长密码期限,除非最大密码期限设置为 0,指示密码永不过期。 如果最长密码期限设置为 0,则最短密码期限可以设置为 0 到 998 之间的任何值。 如果希望“强制实施密码历史记录”生效,请将最短密码期限配置为超过 0。 如果没有最短密码期限,用户可以反复循环浏览密码,直到他们获得旧收藏夹。 默认设置不遵循此建议,因此管理员可以为用户指定密码,然后在用户登录时要求用户更改管理员定义的密码。 如果密码历史记录设置为 0,则用户不必选择新密码。 因此,默认情况下,“强制密码历史记录”设置为 1。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-998]
默认值 1

组策略映射:

名称
名称 最短密码使用期限
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

MinimumPasswordLength

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength

此安全设置确定用户帐户的密码可能包含的最少字符数。 此设置的最大值取决于放宽最小密码长度限制设置的值。 如果未定义放宽最小密码长度限制设置,则此设置可能配置为 0 到 14。 如果已定义并禁用放宽最小密码长度限制设置,则此设置可能配置为 0 到 14。 如果已定义并启用放宽最短密码长度限制设置,则此设置可能配置为 0 到 128。 将所需字符数设置为 0 意味着不需要密码。

注意

默认情况下,成员计算机遵循其域控制器的配置。 默认值:域控制器上的 7,独立服务器上的 0 配置此设置大于 14 可能会影响与客户端、服务和应用程序的兼容性。 建议仅在使用“最小密码长度审核”设置来测试新设置中的潜在不兼容性之后,才配置大于 14 的此设置。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-128]
默认值 0

组策略映射:

名称
名称 最短密码长度
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

MinimumPasswordLengthAudit

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit

此安全设置确定发出密码长度审核警告事件的最短密码长度。 此设置可以配置为 1 到 128。 只有在尝试确定增加环境中最小密码长度设置的潜在影响时,才应启用和配置此设置。 如果未定义此设置,则不会发出审核事件。 如果已定义此设置,并且小于或等于最小密码长度设置,则不会发出审核事件。 如果此设置已定义且大于最小密码长度设置,并且新帐户密码的长度小于此设置,则会发出审核事件。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [1-128]
默认值 4294967295

组策略映射:

名称
名称 最短密码长度审核
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

PasswordComplexity

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity

密码必须满足复杂性要求。 此安全设置确定密码是否必须满足复杂性要求。 如果启用此策略,密码必须满足以下最低要求:

  • 不包含超过两个连续字符的用户帐户名或部分用户全名
  • 长度至少为 6 个字符
  • 包含以下四个类别中的三个类别中的字符:
    • 英语大写字符 (A 到 Z)
    • 英语小写字符 (到 z)
    • (0 到 9)
    • 非字母字符 (,例如!、$、#、%)

更改或创建密码时,会强制实施复杂性要求。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-1]
默认值 1

组策略映射:

名称
名称 密码必须符合复杂性要求
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

PasswordHistorySize

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize

强制实施密码历史记录 此安全设置确定在重用旧密码之前必须与用户帐户关联的唯一新密码的数量。 该值必须介于 0 到 24 个密码之间。 此策略使管理员能够通过确保不持续重复使用旧密码来增强安全性。 默认值:域控制器上的 24。 独立服务器上的 0。

注意

默认情况下,成员计算机遵循其域控制器的配置。 若要保持密码历史记录的有效性,请同时启用“最短密码期限”安全策略设置,不允许在刚更改密码后立即更改密码。 有关最短密码期限安全策略设置的信息,请参阅最短密码期限。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [0-24]
默认值 24

组策略映射:

名称
名称 强制实施密码历史记录
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

PreventEnablingLockScreenCamera

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera

在电脑设置中禁用锁屏界面相机切换开关,并防止在锁屏界面上调用相机。

默认情况下,用户可以在锁屏界面上启用可用相机调用。

如果启用此设置,用户将无法再在电脑设置中启用或禁用锁屏界面相机访问,并且无法在锁屏界面上调用相机。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 CPL_Personalization_NoLockScreenCamera
友好名称 阻止启用锁屏界面摄像头
位置 “计算机配置”
路径 >控制面板个性化
注册表项名称 Software\Policies\Microsoft\Windows\Personalization
注册表值名称 NoLockScreenCamera
ADMX 文件名 ControlPanelDisplay.admx

PreventLockScreenSlideShow

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1703 [10.0.15063] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow

在“电脑设置”中禁用锁屏界面幻灯片放映设置,并阻止幻灯片放映在锁屏界面上播放。

默认情况下,用户可以启用在锁定计算机后将运行的幻灯片放映。

如果启用此设置,用户将无法再在电脑设置中修改幻灯片放映设置,并且不会启动幻灯片放映。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 CPL_Personalization_NoLockScreenSlideshow
友好名称 阻止启用锁屏界面幻灯片放映
位置 “计算机配置”
路径 >控制面板个性化
注册表项名称 Software\Policies\Microsoft\Windows\Personalization
注册表值名称 NoLockScreenSlideshow
ADMX 文件名 ControlPanelDisplay.admx

RelaxMinimumPasswordLengthLimits

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits

此设置控制是否可将最小密码长度设置增加到超过旧限制 14。 如果未定义此设置,则最小密码长度可能配置为不超过 14。 如果定义并禁用此设置,则最小密码长度可能配置为不超过 14。 如果定义并启用了此设置,则最小密码长度可以配置为超过 14。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) 已禁用。
1 已启用。

组策略映射:

名称
名称 放宽最小密码长度
路径 Windows 设置 > 安全设置 > 帐户策略 > 密码策略

ScreenTimeoutWhileLocked

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1607 [10.0.14393] 及更高版本
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked

指定是否显示用户可配置的设置,以在Windows 10 移动版设备的锁屏界面上控制屏幕超时。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
允许的值 范围: [10-1800]
默认值 10

策略配置服务提供程序