Gennemtving sikkert valg af password i Windows NT 4.0

Passwords og brugernavne er en meget væsentlig del af sikkerheden på et netværkssystem. Som du kan læse i artiklen " Gode passwords, hvad er det"  (http://www.eksperten.dk/ (...)), er det væsentligt at vælge ordentlige passwords, der ikke sådanl lige kan crackes. Nedenstående artikel beskriver hvordan du tvinger dine brugere til at bruge et godt password.

Lange komplekse passwords med små og store bogstaver og tal og specialtegn tager meget lang tid at cracke. brud derfor en af følgende tre metoder til at gennemtvinge din passwordpolitik.

Metode 1: NT default. In the User Manager-Policies-Account, sættes længden af password, hvor ofte det skal skiftes, hvor lang tid der skal gå for det kan skiftes igen, samt mange andre nyttige indstillinger, der alle bør anvendes fornuftigt.

Metode 2: PASSPROP.EXE. Denne fil findes på NT Resource kittet i \I386\NETADMIN, og kan bruges til at gennemtvinge en stærkere passwordpolitik. Kør PASSPROP.EXE fra en dos promt med følgende 4 switches:
/simple—Restorer simple passwords (NT default)
/complex—Tvinger brugeren til at bruge både små og store store bogstaver, tal eller specialtegn.
/adminlockout—Tillader at Administrator account bliver "locked out" undtagen for interaktive sessioner fra Domain Controlleren.
/noadminlockout—Restorer NT default hvor Administrator accounten ikke kan blive "locked out".

Metode 3: Service Pack 2. Installering af denne DLL giver mulighed for at gennemtvinge en meget stærk passwordpolitik, med passwords der er mindst 6 karaktere lange, med 3 af de 4 følgende muligheder: store bogstaver, små bogstaver, tal eller specialtegn. Ud over dette forbydes brug af username eller dele af det fulde navn i passwordet. Eneste ulempe ved denne DLL er at du kun man modificere funktionaliteten ved at kode en ny DLL selv. Således implementeres password filteret på alle domain controller.
kopier PASSFILT.DLL fra SP2-CD'en til \WINNT\SYSTEM32.
[Start]-Run-Type REGEDT32-[Enter].
Create (eller edit) følgende Key: HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Add en REG_MULTI_SZ value med navnet "Notification Packages" og en value af PASSFILT (hvis valuen FPNWCLNT allerede findes, editeres denne value således at PASSFILT addes under FPNWCLNT).
Click OK og luk Registry Editor [Alt+F4].
Genstart server.
Ligesom Microsoft skriver tages der selvfølgelig forbehold for fejl og mangler samt skader der kan ske som følge af ovenstående. Det er altid en god ide at gennemprøve noget sådant på en test installation inden det gennemføres på det rigtige net
Dette emne kan du finde mere om på Microsoft Technet (http://www.microsoft.com/ (...) ved at søge på "strong Password".

Du er naturligvis velkommen til at spørge her på eksperten, ligesom du kan kontakte mig på kim@bufferzone.dk

Der vil meget snart kommen en artikel der beskriver hvordan du gør det samme i Windows 2000