如何在 Windows NT 中启用严格密码功能

本文的发布号曾为 CHS161990
本文已归档。它按“原样”提供,并且不再更新。
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要备份注册表,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
256986 Description of the Microsoft Windows Registry(Microsoft Windows 注册表说明)
概要
Microsoft Windows NT 4.0 Service Pack 2 中引入了新的 DLL 文件 (Passfilt.dll),可用来给用户强制实施更强的密码要求。Passfilt.dll 提供了更强的安全功能,可以防止外部入侵者进行"密码猜测"或"词典攻击"。

备注:虽然 Windows 95 密码不区分大小写,但是以特定的方式将密码更改请求发送到主域控制器 (PDC),以便强制实施密码筛选规则。例如,如果在运行 Windows 95 的计算机上将域密码更改为 PassWord1,则可以使用 password1、PASSWORD1、PassWord1 等从运行 Windows 95 的计算机登录到域中。但是,要登录到运行 Windows NT 的计算机上,则必须使用 PassWord1。

备注:在此密码策略中,不能强制实施在 Windows 3.x 或 Windows for Workgroups 3.x 中更改的密码。
更多信息
Passfilt.dll 文件实施以下密码策略:
  1. 密码长度至少为 6 个字符。
  2. 密码中包含的字符必须至少有以下 4 类中的 3 类:
    说明                             示例      -------------------------------------------------------------------英文大写字母              A、B、C ...Z英文大写字母              a、b、c ... z阿拉伯数字             0、1、2 ... 9非字母数字("特殊字符"),如标点符号
  3. 密码可能不包含您的用户名或全名的任何部分。
这些要求被硬编码在 Passfilt.dll 文件中,不能通过用户界面和注册表进行更改。如果要提高或降低这些要求,则必须编写自己的 .dll 文件,并按 Windows NT 4.0 Service Pack 2 中 Microsoft 版本的方式实施该文件。

如何安装增强的密码筛选功能

警告:"注册表编辑器"使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为"注册表编辑器"使用不当而产生的问题。使用"注册表编辑器"需要您自担风险。

要确保在您的域结构中使用"增强密码"功能,应当在所有的主域控制器或独立服务器(如有必要)上进行以下更改。

在备份域控制器上不需要 Passfilt.dll,因为只在 PDC 上对域帐户数据库进行更改。但是,也应当将 Passfilt.dll 安装在所有 BDC 上,因为可以将它们提升为 PDC。如果将没有 Passfilt.dll 的 BDC 提升为 PDC,密码的增强功能就会丢失,但不会造成任何其他不利的影响。
  1. 安装最新的 Windows NT 4.0 服务软件包。
  2. 将 Passfilt.dll 复制到 %SYSTEMROOT%\SYSTEM32 文件夹。
  3. 启动注册表编辑器 (Regedit.exe)。
  4. 在注册表中找到并单击下面的项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  5. 如果没有称为 Notification Packages 的值,则在编辑菜单上,单击添加数值,然后添加以下值:
    Notification Packages
    该值的数据类型应该为 REG_MULTI_SZ

    备注:如果 Notification Packages 值已存在,则继续执行下一步。
  6. 双击 Notification Packages 值。
  7. 数据部分中,应该具有值 FPNWCLNT。创建一个新行,然后键入 PASSFILT
  8. 退出"注册表编辑器"。
  9. 重新启动计算机。
有关其他信息,请单击下列文章编号,查看相应的 Microsoft 知识库文章:
174075 Strong Passwords With Passfilt.dll Are Not Enforced(未强制实施使用 Passfilt.dll 的增强密码)
174076 Invalid Password Message When Strong Passwords Are Required(当需要增强密码时出现无效的密码信息)

Microsoft Windows 2000

Microsoft Windows 2000 中包含的增强密码功能

Windows NT 4.0 的 Passfilt.dll 文件的上述功能已经包含在 Windows 2000 操作系统的安全组件中。可以在 Windows 2000 中实施增强的密码功能,方法是:在 Computer Configuration\Windows Settings\Security Settings\AccountPolicies\Password Policy 中启动"本地计算机策略"管理单元,并启用"密码必须符合复杂性要求"设置。
属性

文章 ID:161990 - 上次审阅时间:12/04/2015 16:07:15 - 修订版本: 2.0

Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 开发员版

  • kbnosurvey kbarchive kbhowto kbenv kbnetwork KB161990
反馈