Überlegungen zur Programmierung von Kennwortfiltern
Beachten Sie beim Implementieren von Exportfunktionen für Kennwortfilter die folgenden Aspekte:
Gehen Sie bei der Arbeit mit Klartextkennwörtern mit großer Sorgfalt vor. Das Senden von Klartextkennwörtern über Netzwerke kann die Sicherheit gefährden. Netzwerk-"Sniffer" können problemlos auf Klartext-Kennwortdatenverkehr achten.
Löschen Sie den zum Speichern von Kennwörtern verwendeten Arbeitsspeicher, indem Sie die SecureZeroMemory-Funktion aufrufen, bevor Sie Arbeitsspeicher frei geben.
Alle Puffer, die an Kennwortbenachrichtigungs- und Filterroutinen übergeben werden, sollten als schreibgeschützt behandelt werden. Das Schreiben von Daten in diese Puffer kann zu instabilem Verhalten führen.
Alle Kennwortbenachrichtigungs- und Filterroutinen sollten threadsicher sein. Verwenden Sie kritische Abschnitte oder andere synchrone Programmiertechniken, um Daten gegebenenfalls zu schützen.
Kennwortbenachrichtigungen und Filterung werden nur auf dem Computer stattfinden, auf dem sich das Konto befindet.
Alle Domänencontroller sind schreibbar, daher müssen Kennwortfilterpakete auf allen Domänencontrollern vorhanden sein.
Windows NT 4.0-Domänen: Benachrichtigungen zu Domänenkonten werden nur auf dem primären Domänencontroller angezeigt. Zusätzlich zum primären Domänencontroller sollten die Kennwortfilterpakete auf allen Sicherungsdomänencontrollern installiert werden, damit Benachrichtigungen bei Änderungen der Serverrolle fortgesetzt werden können.
Alle Kennwortfilter-DLLs werden im Sicherheitskontext des lokalen Systemkontos ausgeführt.
| Informationen über | Finden Sie unter |
|---|---|
| Hier erfahren Sie, wie Sie Ihre eigene Kennwortfilter-DLL installieren und registrieren. | Installieren und Registrieren einer Kennwortfilter-DLL |
| Die von Microsoft bereitgestellte Kennwortfilter-DLL. | Erzwingung und Passfilt.dll |
| Exportieren Von einer Kennwortfilter-DLL implementierte Funktionen. | Kennwortfilterfunktionen |