如何在 Windows NT 中啟用增強式密碼功能

文章編號: 161990 - 檢視此文章適用的產品。
本文曾發行於 CHT161990
重要:本文包含修改登錄的資訊。在修改登錄之前,請將其備份,並且確定在萬一發生問題時,您知道如何復原登錄。如需如何備份、還原與編輯登錄的詳細資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的文件:
256986
(http://support.microsoft.com/kb/256986/ZH-TW/ )
Description of the Microsoft Windows Registry
全部展開 | 全部摺疊

在此頁中

結論

Microsoft Windows NT 4.0 Service Pack 2 引用新的 DLL 檔 (Passfilt.dll),可讓您為使用者實施較強的密碼需求。Passfilt.dll 提供的增強型安全性可對抗外來入侵者的「密碼猜測」或「字典攻擊」行為。

注意:雖然 Windows 95 不支援密碼中的大小寫區分,但密碼變更請求會送到「主要網域控制站」(PDC),以此方式即可實施密碼篩選規則。例如,如果您在執行 Windows 95 的電腦上將網域密碼變更為 PassWord1,您可以使用 password1、PASSWORD1、PassWord1 等等密碼從執行 Windows 95 的電腦登入網域。 然而,您必須使用 PassWord1 來登入執行 Windows NT 的電腦。

注意:對於在 Windows 3.x 或 Windows for Workgroups 3.x 中變更的密碼,您無法實施這樣的密碼原則。
回此頁最上方 | 提供意見

其他相關資訊

Passfilt.dll 會實作下面密碼原則:
  1. 密碼至少要有六個 (6) 字元的長度。
  2. 密碼所包含的字元必須來自下面四種 (4) 類別的其中三種 (3) 類別:
                  描述                                         範例
      -------------------------------------------------------------------

      English upper case letters                      A, B, C, ... Z
      English lower case letters                      a, b, c, ... z
      Westernized Arabic numerals                     0, 1, 2, ... 9
      Non-alphanumeric ("special characters")         such as punctuation symbols
  3. 密碼不能包含使用者名稱或全名的任何部份。
這些需求是硬式編寫在 Passfilt.dll 檔中,無法經由使用者介面或登錄來變更。如果您想要提高或降低這些需求,就必須編寫自己的 .dll,並以 Windows NT 4.0 Service Pack 2 中的 Microsoft 版本的相同方式來實作您自己的 .dll。

如何安裝增強式密碼篩選

警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決因不當修改登錄所造成的問題。請自行承擔使用「登錄編輯器」的風險。

若要確保「增強式密碼」(Strong Password) 功能可在整個網域結構發揮功效,請在所有主要網域控制站 (或獨立伺服器,如果有需要) 上進行下列變更。

備份網域控制站上不需要有 Passfilt.dll,因為 PDC 是網域帳戶資料庫會產生變更的唯一機器。然而,您應該要在所有 BDC 上安裝此檔,因為 BDC 有可能被升級為 PDC。如果沒有安裝 Passfilt.dll 的 BDC 被升級為 PDC,則增強式密碼的實施就無法繼續下去,但不會有任何其他的不良影響。
  1. 安裝最新版的 Windows NT 4.0 Service Pack。
  2. 將 Passfilt.dll 複製到 %SYSTEMROOT%\SYSTEM32 資料夾。
  3. 啟動「登錄編輯程式」(Regedt32.exe)。
  4. 在登錄中找出並且按一下下列機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  5. 如果沒有名為「Notification Packages」的值,則按一下 [編輯] 功能表上的 [新增數值],新增下列值:
    Notification Packages
    這個值應屬於 REG_MULTI_SZ 資料類型。

    注意:如果 Notification Packages 值已經存在,請進行下一步驟。
  6. 按兩下 [Notification Packages] 值。
  7. [Data] 區段中應該有 FPNWCLNT 的值。建立新行,接著輸入 PASSFILT
  8. 結束「登錄編輯器」。
  9. 重新啟動電腦。
如需詳細資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的文件:
174075
(http://support.microsoft.com/kb/174075/ZH-TW/ )
Strong Passwords With Passfilt.dll Are Not Enforced
174076
(http://support.microsoft.com/kb/174076/ZH-TW/ )
Invalid Password Message When Strong Passwords Are Required

Microsoft Windows 2000

Microsoft Windows 2000 包含增強式密碼功能

上文所述之 Windows NT 4.0 的 Passfilt.dll 檔的功能已經加入 Windows 2000 的作業系統安全性元件中。您可以在 Windows 2000 中啟動「本機電腦原則」嵌入式管理單元,然後啟用 [電腦設定\Windows 設定\安全性設定\帳戶原則\密碼原則] 中的 [密碼必須符合複雜性需求] 設定值,以啟用增強式密碼功能。
回此頁最上方 | 提供意見

屬性

文章編號: 161990 - 上次校閱: 2006年8月9日 - 版次: 5.0
這篇文章中的資訊適用於:
  • Microsoft Excel 4.0 for Macintosh
  • Microsoft Binder for Windows 95
關鍵字:?
kbenv kbhowto kbnetwork KB161990
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方 | 提供意見

提供意見

 
回此頁最上方回此頁最上方