发信人: dually(bluefog)
整理人: ipaq(2001-05-27 14:37:41), 站内信件
|
强制强加密用户密码
关键词:NT
强制强加密用户密码
整理编辑:China ASP
www.nt.com.cn
强制强加密用户密码
Windows NT 4.0 Service Pack 2 及后续版本包含了一个密码筛选器 DLL 文件 (Passfilt.dll) ,可以加强用户的更强密码要求。Passfilt.dll 提供加强的安全,可以防范外来侵入者的“密码猜测”或“字典攻击”。
Passfilt.dll 实现下列密码策略:
密码不得少于 6 个字符。(在域的“密码策略”中设置更大值可以进一步提高最小密码长度)。
密码必须包含下列 4 类字符中至少 3 类的字符:
说明
示例
英语大写字母
A, B, C, ... Z
英语小写字母
a, b, c, ... z
西式阿拉伯数字
0, 1, 2, ... 9
非文字数字(“特殊字符”)如标点符号
密码不能包含用户名和全名的任意部分。
这些要求是 Passfilt.dll 文件中的强制要求,并且无法通过用户界面或注册表更改。如果希望提高或降低这些要求,您可以编写自己的 .dll 并在 Windows NT 4.0 Service Pack 2 提供的 Microsoft 版本的相同的模式下实现。
要使用 Passfilt.Dll,管理员必须在所有域控制器的系统注册表中配置密码筛选 DLL。 请按如下指示进行:
设置下列注册表键值:
配置单元
HKEY_LOCAL_MACHINE\SYSTEM
键值:
System\CurrentControlSet\Control\LSA
名称:
Notification Packages
类型:
REG_MULTI_SZ
值:
添加字符串 "PASSFILT"(不要删除已有字符串)。
禁用 LanManager Password Hash Support Windows NT 支持下列两种类型的质询/响应身份验证:
LanManager (LM) 质询/响应
Windows NT 质询/响应
为允许访问只支持 LM 身份验证的服务器,Windows NT 客户机当前发送两种身份验证类型。Microsoft 开发了一个修补程序允许将客户机配置为只发送 Windows NT 身份验证。这将从网络中删除 LM 质询/响应消息的使用。
应用该即时修订程序,配置下列注册表键值: 配置单元
HKEY_LOCAL_MACHINE\SYSTEM
键值:
System\CurrentControlSet\Control\LSA
名称:
LMCompatibilityLevel
类型:
REG_DWORD
值:
0、1 和 2(默认值为 0)
将此值设置为:
0 - 发送 Windows NT 和 LM 密码格式。
1 - 只有服务器要求发送 Windows NT 和 LM 密码格式时才如此。
2 - 从不发送 LM 密码格式。
如果 Windows NT 客户机选择级别 2,将无法连接到只支持 LM 身份验证的服务器,如 Windows 95 和 Windows for Workgroups。
有关该即时修订程序的更完整信息,请参见 Knowledge Base 文章号 Q147706。
在系统清洁关闭期间完全消除系统页面文件
Windows NT 支持的“虚拟内存”支持使用系统页面文件将不同进程中未使用的页面从内存交换到硬盘上。在正在运行的系统上,该页面文件由操作系统独占,因此安全性较好。但是,对于配置允许启动到其它操作系统的系统来说,可以保证当关闭 Windows NT 时彻底清除系统页面文件。这样可以保证窥探者无法看到可能变成页面文件的进程内存的敏感信息。通过设置下列键值可以实现该功能: 配置单元
HKEY_LOCAL_MACHINE\SYSTEM
键值:
System\CurrentControlSet\Control\SessionManager\Memory Management
名称:
ClearPageFileAtShutdown
类型:
REG_DWORD
值:
1
请注意,该保护仅在清洁关机期间起作用,因此重要的是非受信用户无权限手动关机或重启系统。
禁用交互式登录期间的登录凭据的缓存
默认配置下,Windows NT 缓存最后一次交互式登录到系统的用户的登录凭据。提供该功能的目的是系统可用性原因,如用户的机器被切断或没有一个域控制器联机。
尽管凭据缓存的保护较好,在高级安全环境中,客户可以禁用该功能。通过设置下列键值可以实现该功能: 配置单元
HKEY_LOCAL_MACHINE
键值:
Software\Microsoft\Windows NT\CurrentVersion\Winlogon
名称:
CachedLogonsCount
类型:
REG_DWORD
值:
0
|
|