iNode PC 7.3 (E0650) 弱口令不扫描、其他安全检测正常完整排查方案

一、先区分核心变更：E0650 相比 E0598 弱口令检测逻辑大幅改动

1. E0598：客户端本地直接扫描本地账号密码，无依赖，勾选即生效；
2. E0650：本地弱口令检测新增权限、系统策略、扫描开关三重强约束，只勾选 iNode 后台模板不生效，这是你能扫违规软件、扫不出弱口令的根本原因。

二、分模块逐项排查（按优先级）

1. iMC EIA 准入策略内弱口令检测完整开关（最容易漏配）

1. 【系统安全】标签页：
   • 勾选 检测操作系统弱口令；
   • 下方子选项全部勾选：管理员账号弱口令、空密码、简单密码、重复账号；
2. 重点新增项（E0650 独有）：
   勾选 允许客户端本地执行账号密码扫描（E0598 无此复选框，新版必须勾选，否则直接跳过弱口令检测）；
3. 保存策略，下发给接入服务，强制终端重新获取策略。

现象：只勾上层检测，没勾 “允许本地扫描”，软件进程、补丁、违规程序能正常扫，弱口令直接跳过无结果。

2. Windows 客户端本地权限问题（域环境 / 普通用户高发）

1. 终端 iNode 客户端右键→属性→兼容性→勾选以管理员身份运行此程序；
2. 域电脑：组策略放开本地 SAM 读取权限，普通域用户默认禁止读取本地账号哈希；
3. 关闭终端本地安全软件 / 360 / 火绒：安全软件拦截 iNode 读取系统账号数据库，弱口令模块直接失效。

3. E0650 客户端本地配置文件开关被关闭

• 0 = 关闭弱口令扫描；1 = 开启；
  修改为 CheckWeakPassword=1，保存重启 iNode 服务；
  如果是批量推送安装包，安装脚本里强制写死 0，所有终端统一不扫弱口令。

4. 操作系统版本 / 安全策略拦截

1. Win10/11 21H2 及以上：系统默认启用 LSA 保护，第三方程序禁止读取本地账号密码，iNode 无法获取账号信息：
   组策略关闭 LSA 保护，或添加 iNode 进程到 LSA 信任列表；
2. 服务器 Windows Server：本地安全策略→安全选项，限制 SAM 远程 / 本地读取，拦截 iNode 扫描。

5. 版本配套不匹配（iMC 平台与 iNode 版本对应）

• 平台版本过低，下发的策略缺少 “允许本地扫描” 字段，客户端自动忽略弱口令检测；
• 验证：登录 iMC 查看 EIA 版本，低于 E0705P07 需要升级平台，或降级 iNode 回 E0598。

6. 客户端安全扫描日志定位根因

1. 日志出现 WeakPassword scan disabled by policy → iMC 策略未勾选允许本地扫描；
2. 日志出现 Access denied read SAM → 系统权限 / 安全软件拦截；
3. 日志无弱口令相关记录 → 客户端配置文件关闭检测。

三、快速修复操作步骤

1. iMC EIA 安全策略，勾选「检测操作系统弱口令」+「允许客户端本地执行账号密码扫描」，重新下发策略；
2. 终端以管理员身份运行 iNode，临时关闭杀毒软件测试；
3. 检查 iNodeCfg.ini 中 CheckWeakPassword 值改为 1；
4. 核对 iMC 平台版本是否匹配 iNode E0650，版本不匹配则升级平台；
5. Win10/11 关闭 LSA 保护，放开 SAM 账号读取权限。

极简总结