LASS Registry Settings
9/8/2008
O Registro armazena informações necessárias configurar o sistema operacional para aplicativos e dispositivos hardware. O Registro também contém informações que o sistema operacional continuamente durante operação.
Configurações do Registro Backoff exponencial
O HKEY_LOCAL_MACHINE\Comm\Security\LASSD chave Registro é usado para habilitar o exponencial LASS backoff mecanismo. Esse mecanismo foi projetado para deter ataques bruta forçar que tentam rapidamente várias autenticações em um LAP apresentando um exponencialmente crescente atraso tempo entre malsucedido consecutivos tentativas da VerifyUser chamar para um LAP.
O tempo de atraso ou bloqueio tempo é calculado, usando a seguinte expressão:
(InitialPenalty + (2^(Number of failures above Threshold)) * IncrementalPenalty)
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
InitialPenalty : REG_DWORD |
Tempo, em segundos, para a penalidade inicial. Valor padrão é 0. |
Limite : REG_DWORD |
O número de falhas antes o exponencial backoff mecanismo está ativado. Valor padrão é 0. Isso indica que exponencial backoff está desativado. |
IncrementalPenalty : REG_DWORD |
Tempo, em segundos, o multiplicador para o expoente. Valor padrão é 0, indicando que não há nenhum atraso além o valor definido para InitialPenalty. |
Lap Codeword e dispositivos Apagar configurações do Registro
O HKEY_LOCAL_MACHINE\Comm\Security\LASSD chave Registro é usado para configurar configurações de funcionalidade codeword LASS e apaga o limite de dispositivo. Após um número de falha tentativas senha, definidas pelo CodeWordFrequency configuração, o dispositivo completamente bloqueia o backup e solicita que o usuário para inserir um codeword exibida para desbloqueá-lo novamente. O objetivo de codeword prompt será-se de que as tentativas de senha incorreta não sejam o resultado da acidental chave pressiona. Depois de inserir o codeword exibida, o usuário, em seguida, é capaz tornar mais tentativas senha. Quando o limite de apagamento dispositivo for atingido, o dispositivo apaga a memória, incluindo todos os dados e certificados.
Observação
Fazer não implementar uma palavra codificar que inclui caracteres Double Byte Character Set (DBCS).Enquanto o nó Registro CodeWord irão aceitar DBCS caracteres, os usuários não é possível inserir caracteres DBCS em um dispositivo.
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
CodeWordFrequency : REG_DWORD |
O número de vezes que uma senha incorreta pode ser inserida antes uma codeword exibida deve ser inserido para continuar. Isso é para evitar acidental entrada senha resultando em um local Apagar dispositivo. Se a chave Registro tanto não existe ou estiver definido para 4294967295 (0xFFFFFFFF), esta diretiva não é aplicada. |
CodeWord : REG_SZ |
Codeword que o usuário será solicitado para tipo. |
DeviceWipeThreshold : REG_DWORD |
O número de falhas autenticação antes o dispositivo será ser apagado. Um valor de 0 desativa a funcionalidade de apagamento dispositivo. |
Configurações do registro de instalação LAP
Para instalar um novo LAP, adicionar uma nova subchave para o HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP chave Registro que especifica o nome User-defined para o novo LAP. Use o A DLL valor para a subchave para especificar a localidade para o LAP.
No exemplo seguinte lap_scard é o nome de usuário-definidos para o novo LAP e o A DLL valor indica o nome da LAP DLL.
[HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP\lap_scard]
"Dll"="lap_smartcard.dll"
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
A DLL : REG_SZ |
O nome de DLL um LAP que desejar para instalar. |
Configurações do Registro de ativação LAP
Instalar um LAP não faz-lo ativo. Para tornar o ativo LAP, você deve ativá-lo após instalação. Especificar o ativo LAP usando o ActiveLap valor sob a HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP chave Registro.
No exemplo seguinte ActiveLap é definido como lap_scard, que é a subchave que especifica o nome da LAP DLL.
[HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP]
"ActiveLap"="lap_scard"
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
ActiveLap : REG_SZ |
Uma chave na árvore de LAP. O valor da DLL na árvore de LAP especifica de DLL que LASS irá carregar. |
Configurações de Senha LAP
O comprimento e tipo de uma senha podem ser aplicadas nas Microsoft padrão LAP usando as configurações MinimumPasswordLength e PasswordComplexity sob a HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP\lap_pw chave Registro. Essas configurações só serão aplicadas se PasswordNotRequired é definido como zero (0)
No seguinte exemplo, o comprimento mínimo da senha é definido como 9 caracteres e a complexidade é definida para que seja um senha forte exigido.
[HKEY_LOCAL_MACHINE\Comm\Security\LASSD\LAP]
"MinimumPasswordLength"="9"
"PasswordComplexity"="0"
A seguinte tabela mostra as configurações e valores:
Valor : tipo | Descrição |
---|---|
MinimumPasswordLength: REG_DWORD |
Define o comprimento mínimo de dispositivo senha o usuário pode inserir. O comprimento é medido em caracteres e podem ser definido para qualquer número menor ou igual a o número máximo de caracteres permitidos. Inserindo zero (0) para resultados MinimumPasswordLength na configuração padrão de 1. Observação Usar Wireless Access Protocol (WAP) permite senha comprimentos de 1 a 256 caracteres.No entanto, configuração este parâmetro com o Exchange Security Manager limita você a um mínimo de 4 e um máximo de 18 caracteres. Este valor funciona em conjunto com política de segurança 4131, qual quando definido como zero (0) indica que a aplicação senha é exigido no dispositivo. Se a aplicação senha não for exigido, o valor de MinimumPasswordLength será ignorado. |
PasswordComplexity: REG_DWORD |
Define a complexidade da senha do dispositivo. A seguinte lista mostra os valores possíveis:
Configurar este parâmetro com os resultados Exchange Security Manager em uma configuração de zero (0) ou 2. Não é possível definir esse parâmetro para 1 usando o Exchange Security Manager. |
Configurações do Registro AE
Para instalar um novo evento autenticação (AE), crie uma subchave com a GUID do AE sob a HKEY_LOCAL_MACHINE\Comm\Security\LASSD\AE chave Registro. Para obter exemplos, consulte Instalando um AE.
A seguinte tabela mostra o nomeado valores.
Valor : tipo | Descrição |
---|---|
Nome amigável : REG_SZ |
Seqüência de caracteres que indica para o usuário que representa o AE. |
ExibirTexto : REG_SZ |
Seqüência de caracteres que indique o nome do aplicativo que está verificando o usuário em um chamar para VerifyUser. |
AEFrequencyType : REG_DWORD |
Tipo de diretiva freqüência usado para controle um AE. Ele pode ser qualquer uma do seguinte valores, e AEFrequencyValue é interpretada de forma diferente com base em cada valor:
|
AEFrequencyValue : REG_DWORD |
Valor que indica a freqüência com que autenticação usuário irá ocorrer. A interpretação de AEFrequencyValue depende de como o valor de AEFrequencyType. Para obter mais informações sobre como AEFrequencyType e AEFrequencyValue estiver relacionado, consulte Configurando uma política AE. Quando AEFrequencyType é definido como 0, AEFrequencyValue Tem o seguinte casos especiais:
|
As configurações de autenticação Redefinir
As configurações de autenticação Reset determinar se um dispositivo pode ser redefinir por RemoteWipe. As mensagens exibidas para os usuários podem ser personalizado para redefinir autenticação na usar como padrão Local Authentication Plug-in (LAP). Todas as chaves listadas na tabela estão localizadas no caminho HKEY_LOCAL_MACHINE\Comm\Policy\LASSD\AuthReset.
Valor : tipo | Descrição |
---|---|
AuthenticationReset : REG_DWORD |
Especifica se deve ou não permitir autenticação redefinir o dispositivo. Se essa configuração é habilitado, o Reset Password opção aparece no menu de senha.
|
RequestMessage : REG_SZ |
Esta mensagem será exibida para o usuário antes de iniciar o processo redefinir. Se nenhuma mensagem for especificada, será exibida uma mensagem usar como padrão. |
RequestSuccessMessage : REG_SZ |
Esta mensagem é exibida se o processo redefinir seja concluído com êxito. Se nenhuma mensagem for especificada, será exibida uma mensagem usar como padrão. |
RequestFailureMessage : REG_SZ |
Esta mensagem é exibida se o processo redefinir falhar. Se nenhuma mensagem for especificada, será exibida uma mensagem usar como padrão. |
RecoveryMessage : REG_SZ |
Esta mensagem é exibida no diálogo de entrada Recovery PIN. Se nenhuma mensagem for especificada, será exibida uma mensagem usar como padrão. |
RecoveryPhone : REG_SZ |
Este é um secundário seqüência de caracteres a serem exibidos seguinte a mensagem de recuperação. |
Algoritmo de hash LAP
Nome do registro |
LAPHashAlgorithm |
Descrição |
O identificador do algoritmo utiliza o LAP para hash chave senha e administração de dispositivo. Os OEMs podem atualização isso se novos algoritmos estiverem instalados no dispositivo. O valor usado ao criar um novo hash senha é armazenada no Registro com a senha. O usar como padrão LAP usa 0x800C (CALG_SHA_256) se esse valor não está definido. |
Local do registro |
HKLM\Comm\Security\Policy\LASSD\LAP\lap_pw [LAPHashAlgorithm] HKLM\Comm\Security\LASSD\LAP\lap_pw [LAPHashAlgorithm] |
Tipo |
REG_DWORD |
Valor padrão |
< nenhum > |
Valores |
Algoritmo identificadores são definidos em Wincrypt.h. O algoritmo deve ter o o bit ALG_CLASS_HASH definido e não pode incluir o seguinte hash tipos: ALG_SID_MD2, ALG_SID_MD4, ALG_SID_MD5, ALG_SID_SHA, ALG_SID_SHA1, ALG_SID_MAC, ALG_SID_RIPEMD, ALG_SID_RIPEMD160, ALG_SID_SSL3SHAMD5, ALG_SID_HMAC, ALG_SID_TLS1PRF, ALG_SID_HASH_REPLACE_OWF Se qualquer um dos tipos de hash não permitidos são especificado, o valor usar como padrão é usado. |
Tipo do provedor LAP
Nome do registro |
LAPProviderType |
Descrição |
O DWORD especificando quais tipo de provedor criptografar o LAP irá especificar quando chamado CryptAcquireContext() para todos os seu criptográfico funções. Os OEMs podem atualização este quando necessário. O valor usado ao criar um novo hash senha é armazenada no Registro com a senha. O usar como padrão LAP usa 24 (PROV_RSA_AES) se esse valor não está definido. |
Local do registro |
HKLM\Comm\Security\Policy\LASSD\LAP\lap_pw [LAPProviderType] HKLM\Comm\Security\LASSD\LAP\lap_pw [LAPProviderType] |
Tipo |
REG_DWORD |
Valor padrão |
< nenhum > |
Valores |
Provedores de criptografia serviço são definidos em Wincrypt.h. O provedor deve suporte o algoritmo especificado na valor do Registro LAPHashAlgorithm ou o algoritmo hash usar como padrão se nenhum for especificado. |
Nome do provedor LAP
Nome do registro |
LAPProviderName |
Descrição |
O nome de um criptográfico serviços provedor que suporte o algoritmo hash especificado no valor do Registro de LAPHashAlgorithm. Os OEMs podem atualização isso se novos fornecedores estiverem instalados no dispositivo. O valor usado ao criar um novo hash senha é armazenada no Registro com a senha. O ARC usa o provedor usar como padrão se esse valor não for definida (consulte documentação para CryptAcquireContext). |
Local do registro |
HKLM\Comm\Security\Policy\LASSD\LAP\lap_pw [LAPProviderName] HKLM\Comm\Security\LASSD\LAP\lap_pw [LAPProviderName] |
Tipo |
REG_SZ |
Valor padrão |
< nenhum > |
Valores |
O provedor especificado deve ser o tipo de provedor especificado no valor do Registro o LAPProviderType, ou o tipo usar como padrão se não existe nenhum. Ele deve suporte o algoritmo especificado na valor do Registro LAPHashAlgorithm ou o algoritmo hash usar como padrão se nenhum for especificado. |
See Also
Other Resources
Local Authentication Subsystem (LASS)
LASS Application Development
LASS OS Design Development