No, no hay protección adicional contra las vulnerabilidades remotas, pero siempre debe establecer una contraseña de cuenta siempre que sea humanamente posible , por toda una serie de razones no relacionadas con errores de ejecución remota de código.
Las explotaciones remotas generalmente resultan en la ejecución del código, y ese código se ejecutaría bajo el nivel de privilegio del usuario que estaba ejecutando el servicio o la aplicación explotada. Como tal, el mecanismo de contraseña está completamente omitido.
Este es especialmente el caso de los servicios que se ejecutan bajo cuentas de servicio dedicadas, como el SERVICIO DE RED, EL SERVICIO LOCAL o el SISTEMA, que en primer lugar no tienen técnicamente contraseñas - tienen hashes NTLM con valores aleatorios, y el inicio de sesión está deshabilitado para ellos.
La única protección que puedo ver es en un escenario donde un usuario con pocos privilegios (por ejemplo, una cuenta limitada o de invitado) ejecuta una aplicación que está abierta a la red, y esa aplicación es explotada. Desde allí, una cuenta sin contraseña es un objetivo para la escalada horizontal de privilegios, o la escalada vertical de privilegios si la cuenta se ejecuta como administrador.
En general, sugeriría que la contraseña esté siempre establecida en todas las cuentas de usuario, pero no por razones de protección de explotación remota. Hay muchas otras razones para establecer una contraseña.