Windows 11 频繁提示更改密码问题的深度解析与解决方案

1. 问题背景与现象描述

在 Windows 11 操作系统中，部分用户（尤其是使用本地账户或域账户的用户）频繁收到“您的密码即将过期”的系统通知。该提示通常出现在登录界面或任务栏通知区域，严重影响用户体验。

尽管家庭用户并未配置 Active Directory 域服务，也未启用任何密码策略，但系统仍误判为域环境并触发密码过期提醒。此问题在非域控环境下尤为突出，引发大量用户关注。

2. 根本原因分析

通过事件日志、组策略对象（GPO）和本地安全策略审查，可归纳出以下几类常见诱因：

1. 系统误识别为域成员（如残留注册表项或网络配置）
2. 本地安全策略中启用了“密码必须符合复杂性要求”或“最大密码使用期限”
3. 第三方安全软件注入了模拟域策略的行为
4. 注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 中存在异常值
5. Windows 更新后默认策略变更（如 KB5032189 后行为变化）
6. 多用户环境中某账户受策略影响导致全局提示
7. Microsoft 账户同步策略干扰本地账户判断
8. 计划任务中存在 PasswordAgeNotification 类任务
9. WMI 查询返回错误的密码最后设置时间
10. LSA（本地安全认证子系统）缓存异常

3. 解决方案路径图

4. 方法一：通过本地安全策略禁用密码过期提醒

适用于专业版及以上版本的 Windows 11 系统。操作步骤如下：

• 按下 <kbd>Win + R</kbd>，输入 secpol.msc 并回车
• 导航至【账户策略】→【密码策略】
• 双击“最大密码使用期限”
• 将其设置为 0（表示密码永不过期）
• 点击“应用”并确认
• 执行命令提示符中的 gpupdate /force 刷新策略

注意：若 secpol.msc 不可用（家庭版限制），请跳转至注册表方法。

5. 方法二：注册表编辑器彻底关闭通知

针对所有 Windows 11 版本（包括家庭版）有效。需谨慎操作注册表。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Authentication]
"NotifyPasswordExpiration"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordExpirationNotification"=dword:00000001
    

将上述内容保存为 DisablePasswordNotify.reg，右键以管理员身份运行导入注册表。

6. 方法三：检测并清除域环境误判痕迹

某些情况下，系统虽为本地使用，但注册表或网络配置残留域信息。可通过以下命令排查：

7. 自动化脚本辅助诊断

以下 PowerShell 脚本可用于批量检查并修复常见问题：

# Check and fix password expiration notification issues
$users = Get-LocalUser
foreach ($user in $users) {
    if (-not $user.PasswordNeverExpires) {
        Write-Host "Setting password to never expire for: $($user.Name)"
        Set-LocalUser -Name $user.Name -PasswordNeverExpires $true
    }
}

# Disable Netlogon password expiration notification
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters"
if (Test-Path $regPath) {
    Set-ItemProperty -Path $regPath -Name "DisablePasswordExpirationNotification" -Value 1 -Type DWord
}

# Refresh policy
Invoke-WmiMethod -Path Win32_Process -Name Create -ArgumentList "gpupdate /force"
    

8. 企业环境与家庭用户的差异处理

在企业环境中，密码策略通常由域控制器统一管理，修改本地策略可能被周期性覆盖。建议通过 GPO 中心化控制：

• 定位至 Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy
• 设置“Maximum password age”为 0 或合理周期
• 启用“Domain member: Disable password expiration warning”策略（如有）

而对于家庭用户，推荐优先使用注册表方法结合 PowerShell 脚本实现一键静默关闭。

9. 验证与监控机制

实施更改后，应通过以下方式验证效果：

1. 观察未来 24 小时内是否仍有通知弹出
2. 检查事件查看器中 Security 日志 ID 4723/4724（密码修改尝试）
3. 运行 net accounts 命令确认“强制密码历史”和“最长使用期限”为“无限制”
4. 使用 WMI 查询：wmic path Win32_UserAccount where Name='YourUser' get PasswordExpires
5. 监控 Task Scheduler 中是否存在 Microsoft\Windows\Accounts\Notifications 相关任务
6. 抓包分析 LSASS 进程是否有向 LDAP 端口发起连接（可疑域探测）
7. 检查 LSASS 内存中是否存在缓存的域凭据（需 ProcMon 工具）
8. 定期审计注册表关键路径的权限完整性
9. 启用 Sysmon 监控注册表写入行为（高级安全需求）
10. 建立基线快照用于后续比对