在NT下為了強制使用強壯的密碼，你可以更改注冊表里的LSA值來實現，叫passfilt.dll，這個文件可以在Windows NT的Service Pack2及以后的版本里找到。在LSA鍵值下需要添加Notification Packages字串并把值為passfilt.dll加進去。這串值必須在公司所有的域控制器里都加入。同時你還需要使用passprop.exe這個程序來使passfilt.dll生效。

　　UNIX下的密碼安全

　　在UNIX中加密后的密碼信息是存在一個文件里，通常是/etc/passwd 。維護好這個文件的安全性是非常重要的。在UNIX系統里它的屬主是具有最高權限的帳號，即root的。UNIX基本上有兩類用戶：普通用戶和系統特權用戶。有時特權用戶也被不確切地叫做超級用戶。實際上，一個超級用戶帳號的標識號是為零。當一個帳號建立的時候，會被分配一個唯一的標識數字(UID)。這個數字分配從0開始，最低的數字(也就是最高的權限)是分配給登陸帳號root的。Root可以執行任何程序，打開任何目錄，檢查任何文件，改變系統內任何對象的屬性及其它任意的功能。任何對于攻擊UNIX系統的黑客最終目的都是取得Root帳號。

　　Root掌管/etc/passwd文件。此文件可以被所有登陸的用戶讀取，它包含每一個用戶的認證信息。因此，在簡單的UNIX系統上任何人都可以復制這個文件的內容并分析哪個字段是包含加密后的密碼。然后利用不同的密碼一系列的嘗試和/etc/passwd加密后的字串進行比較。因此，密碼的選擇是UNIX系統安全級別中最重要的。

　　Windows NT帳號安全

　　首先，也是最困難的任務就是確保只有必需的帳戶被使用而且每個帳號僅有能滿足他們完成工作的最小權限。在一個大型的公司里，通常是用一個或多個用戶域集中管理所有的用戶帳號。域是一個中央集權的帳號數據庫可以在分布于公司中間。因此有經驗的管理員盡量地把用戶放到較少的域里面以便于管理。這種限制通常促進公司策略的粘附性。本地組創建本地資源并管理權限。本地資源的機器要被配置成信任集中帳號域。但有時這種設置也是不可行的，因為和遠程站點間沒有足夠的帶寬。

　　有幾種技術可以解決帳號安全的問題。其中一個主要關心的是確保不再有新的帳號建立或已存在的帳戶權限不作改動。另一個簡單的方法就是利用net user和net group命令把信息定向到一個文體文件里后進行比照。有規律地運行這些命令并對輸出的文本文件中的帳號列表進行比較就能輕易地發現問題。一些內置的工具，比如系統任務進度表程序，可以自動的執行。也可以使用其它一些外部工具比如Perl或diff可以自動地對標準列表和當前的設置進行比照。

　　帳號重命名

　　另一個可靠的辦法就是對默認的帳號重命名。包括administrator、guest以及其它一些由安裝軟件時（如IIS）所自動建立的帳號。這些帳號必須好好保護因為它們易受攻擊。然而簡單地重命名帳號并不能很好地隱藏它們。因為Windows NT必須知道哪一個是管理員帳號，管理員帳號當前的名字是保存在注冊表里的。

　　帳號策略

　　為了保持用戶數據庫不被侵犯，你必須強制用戶養成良好的習慣在帳號的設置上要能有效地防止黑客使用暴力破解的方法來攻擊。這些任務主要是通過Windows NT上的帳號策略上設置的。帳號策略的設置是通過域用戶管理器來實施的，從策略的菜單中選擇用戶權限，第一項是有關密碼的時效，第二項是有關密碼長度的限制，以及帳號鎖定等機制。

　　實現強壯的密碼

　　大多數情況下，僅養成使用好密碼的習慣是不夠的；你還需要使用更強壯的密碼來有效阻止類似于字典攻擊和暴力破解攻擊。我們前面已經討論，一個強壯的密碼至少需要六個字符，不能包括用戶名的任何一部分，并且至少要有大小寫字母、數字和通配符等。為了實施強壯的密碼你需要在注冊表里LSA項加入本課已提過的其它的密碼過濾器。在主域控制器或在任一可能會升級為主域控制器的備份域控制器上，你都需要在注冊表HKLM\System\CurrentControlSet\Control\LSA中加入PASSFILT的字串。