Используйте надежные пароли

Существует несколько бесплатных утилит, которые позволяют изменять пароль с соблюдением правил. Я рекомендую собственные утилиты Microsoft. В наборе ресурсов NT Server 4 есть утилита Passprop.exe, обеспечивающая использование надежных паролей. Еще один вариант, представленный в SP2, — это DLL с именем PASSFILT.DLL, которая в основном делает то же самое. (см. параметр реестра AlphanumPwds ниже для другого параметра).

Passprop позволяет установить политику, требующую сложных паролей, содержащих сочетание букв верхнего и нижнего регистра, цифр или символов (эта функциональность зависит от passfilt.dll). Например, wayne123 неприемлем. Нет заглавной буквы.

Passprop также можно использовать для обеспечения соответствия встроенной учетной записи администратора политикам блокировки учетной записи в сети. По умолчанию встроенная учетная запись администратора не следует политике блокировки и поэтому является прекрасной мишенью для атаки по словарю. Учетная запись администратора никогда не может быть заблокирована на консоли. Но после количества неудачных попыток ввода пароля, установленного политикой вашей учетной записи, учетная запись администратора будет заблокирована от удаленного доступа до тех пор, пока она не будет разблокирована в диспетчере пользователей. На самом деле заблокированная встроенная учетная запись администратора обычно является убедительным признаком того, что кто-то пытается проникнуть на ваш сервер или в сеть.

Существует версия passprop для Windows 2000, но вы можете искать в базе знаний Microsoft и не найти, где она находится и как ее получить. Если вы попытаетесь использовать версию NT4 в Windows 2000, результаты будут противоречивыми. W2K-версия файла passprop.exe находится в файле NETMGMT.CAB, который можно найти либо в наборе ресурсов Windows 2000 Pro, либо в наборе ресурсов Windows 2000 Server.

Внутренний файл справки:

C:WINNT>пароль /?
 Отображает или изменяет политики домена для сложности пароля и
 блокировка администратора.
 PASSPROP [/complex] [/simple] [/adminlockout] [/noadminlockout]
 /complex Сделать пароли сложными, требующими паролей
 быть смесью прописных и строчных букв и
 числа или символы.
 /simple Разрешить простые пароли.
 /adminlockout Разрешить блокировку учетной записи администратора.
 Учетная запись администратора по-прежнему может войти в систему
 интерактивно на контроллерах домена.
 /noadminlockout Не разрешать блокировку учетной записи администратора
 вне.

Windows NT/Windows 2000/Windows XP примет что угодно в качестве пароля, включая ничего. Если вы не хотите возиться с passprop, вы можете установить AlphanumPwds, который заставляет буквенно-цифровые пароли содержать как буквенные, так и цифровые символы. Он ничего не делает со сложностью пароля или другими функциями, но лучше, чем значения по умолчанию.

Куст: HKEY_CURRENT_USER
Ключ: SoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
Имя: AlphanumPwds
Тип: REG_DWORD
Значение: 1 включено

Связанный:

HOWTO: фильтрация и уведомление об изменении пароля в Windows NT. См. Q151082.

Microsoft представила Syskey для шифрования хэшей паролей. См. atips92.shtml.

Рекомендации Microsoft по использованию паролей

Не отключайте встроенную учетную запись администратора. См. советы40.

Если вы действительно настроены серьезно, вы могли бы написать собственную DLL-библиотеку графической идентификации и аутентификации Windows NT gina. Джина контролирует процесс аутентификации.