Überlegungen zur Kennwortfilterprogrammierung

Beachten Sie beim Implementieren von Kennwortfilterexportfunktionen die folgenden Überlegungen:

• Achten Sie bei der Arbeit mit Klartextkennwörtern auf große Sorgfalt. Das Senden von Klartextkennwörtern über Netzwerke könnte die Sicherheit gefährden. Netzwerk-"Schniffer" können problemlos für Klartext-Kennwortdatenverkehr watch.

• Löschen Sie den gesamten Arbeitsspeicher, der zum Speichern von Kennwörtern verwendet wird, indem Sie die SecureZeroMemory-Funktion aufrufen, bevor Sie Arbeitsspeicher freigeben.

• Alle Puffer, die an Kennwortbenachrichtigungs- und Filterroutinen übergeben werden, sollten als schreibgeschützt behandelt werden. Das Schreiben von Daten in diese Puffer kann zu instabilem Verhalten führen.

• Alle Kennwortbenachrichtigungs- und Filterroutinen sollten threadsicher sein. Verwenden Sie kritische Abschnitte oder andere synchrone Programmiertechniken, um Daten nach Bedarf zu schützen.

• Die Kennwortbenachrichtigung und -filterung erfolgt nur auf dem Computer, auf dem sich das Konto befindet.

• Alle Domänencontroller sind beschreibbar, daher müssen Kennwortfilterpakete auf allen Domänencontrollern vorhanden sein.

  Windows NT 4.0-Domänen: Die Benachrichtigung für Domänenkonten erfolgt nur auf dem primären Domänencontroller. Zusätzlich zum primären Domänencontroller sollten die Kennwortfilterpakete auf allen Sicherungsdomänencontrollern installiert werden, damit Benachrichtigungen bei Änderungen der Serverrolle fortgesetzt werden können.

• Alle Kennwortfilter-DLLs werden im Sicherheitskontext des lokalen Systemkontos ausgeführt.

Informationen über	Finden Sie unter
So installieren und registrieren Sie Ihre eigene Kennwortfilter-DLL .	Installieren und Registrieren einer Kennwortfilter-DLL
Die von Microsoft bereitgestellte Kennwortfilter-DLL.	Sichere Kennworterzwingung und Passfilt.dll
Exportfunktionen, die von einer Kennwortfilter-DLL implementiert werden.	Kennwortfilterfunktionen