windows用户验证

在windows的NTLM用户身份验证

Windows操作系统中的所有用户的账号密码都是存储在安全账号管理器（SAM）数据库中的。如果该windows开启了域服务（winserver2008以上），那么域用户的账号密码则是存储在Active Directory数据库中的。当然这个数据库也存储用户记录。
每个用户账号都是有两个密码。一个LAN密码和一个Windows密码。每个密码都被加密后存储在SAM数据库中或者在Active Directory数据库中。

LAN 密码基于OEM字符集，不区分大小写。Windows密码基于unicode字符集，区分大小写。并且windows密码最多可以长达128个字符.

系统账户数据库加密

默认情况下，windows server2003/2008系统中所有用户账户的登录信息，全部都保存在windows/system/config目录下的sam文件中。当然administrator账户也不例外。保护好该文件，也就间接的保护了管理员账户的安全。通常情况下可以通过加密方式实现。Syskey是windows系统内置的账户数据库加密专用工具。加密之后，即使入侵者获取了被加密的SAM文件，也无法获取其中的用户名和密码信息。

打开syskey对话框，系统将默认选择“启用加密”选项

我们直接单击确定选项可以直接对SAM文件进行二次加密。

如果我们单击“更新”选项

在这里我们可以设置windows的密码启动

这相当于给windows进行二次加密。
当windows启动时，将会弹出界面：

当然我们也可以删除系统账户数据库，不过该操作仅适用于windows server 2003，在windows server 2008 中并不适用。按照默认方式安装windows server 2003后，将自动在windows/repair目录下保存一份SAM备份。为了防止原密码泄露，我们需要删除这个备份文件。

当然在windows2008系统中，我们新增了一个功能：“credwiz”，该功能可以帮助管理员备份和回复所有用户账户信息。通常情况下，windows server 2008服务器上保存着所有客户端的用户账户信息。一旦遇到系统故障问题，这些信息很可能会被破坏和扩大，如果在使用手工方法重新录入每一个用户账户信息，不仅工作量大，而且容易出错。
① 单击“开始”按钮，在“开始搜索”文本框中，输入’credwiz’，按下“enter“后，会出现以下界面：

② 你可以选择备份用户密码或者是还原用户密码。这里我们建议保存在软盘和移动硬盘上，避免存储在本地计算机中。
③ 然后备份时，还需要您输入密码，是对备份文件使用的密码，这个密码必须符合windows server 2008的密码复杂性要求。