终极密码管理决方案.doc

尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 终极密码管理解决方案 Quest Password Manager 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 目录 一、前言4 二、简介4 三、演示环境4 四、安装条件5 必要条件.5 可选条件.5 五、安装6 安装基础环境.6 安装 MICROSOFT SQL SERVER 2005 EXPRESS 高级版 .6 安装 QUEST PASSWORD MANAGER主程序 .13 安装 QUEST PASSWORD POLICY MANAGER20 安装 QUEST SECURE PASSWORD EXTENSION (可选) 24 六、配置30 服务器配置.30 全局配置.30 托管域、密码策略配置.38 密码策略详解.51 客户端组策略配置.55 常规设置.55 Windows Vista 之前的操作系统的设置62 Windows Vista 设置64 七、操作65 自助式操作.65 创建、更新个人问与答配置文件.65 重设个人密码.68 修改个人密码.72 解锁个人帐号.73 配置个人警报.74 帮助台操作.75 重设用户密码.75 管理用户问与答配置文件.78 指定临时密钥.80 解锁用户帐号.84 八、报表86 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 九、其他92 开启/关闭注册通知 .92 选择加密方式和散列算法.94 为站点启用 HTTPS95 增/删安全管理员 .96 增/删、委派帮助台操作员操作 .96 禁止指定用户访问自助式站点.97 跨平台密码同步方案.98 十、附录99 V4.5 支持的新功能99 关于 WINOS 中文技术论坛.99 十一、结束语99 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 一、前言 尽管帮助员工实现有效的密码管理，是企业 IT 管理员日常工作的一部分（或是很大一部分） ，但是我坚信 不少 ITPro 朋友和我一样，曾面临过或现在仍面临着枯燥冗“烦”的重置、解锁用户密码的头疼事。尤其 是 Help Desk、IT Support 人员更甚，可以说“深受其扰”！别绝望！您现在正在看本文就意味着即将 解放您自己，和“低级趣味”的重置密码、解锁 Say Bye-bye！尽情拥抱没有人打搅的周末吧！（因为我 经常在周末被 HelpDesk 人员打电话过来要我 VPN 到公司给某某员工修改忘记的密码！）在这里我将会 像“托儿”一样隆重介绍 Quest Password Manager 这款产品。我将从技术层面上详尽介绍这个产品 的方方面面。OK，废话少说。Just Go Ahead！尽情享受我给您带来的超五星级体验之旅吧！ 二、简介 Quest Software 公司的 Password Manager 是一款将企业集中式的密码管理解决方案，该工具针对企 业密码管理当中不同的角色进行分类：安全管理员；帮助台人员；终端用户。对这些不同的角色提供不同 的支持模块。概括而言，Password Manager 为终端用户提供了自主管理个人密码生命周期的能力，为 帮助台人员和安全管理员提供了为整个企业范围制定强密码策略的机制。该解决方案主要带来如下收益： 用户自主控制帐号口令生命周期 制定强安全策略以加强企业整体的网络安全 显著降低用户宕机时间 提供快速的投资回报 与现有 IT 基础架构无缝集成 提高了用户和 IT 部门的满意度 OK，广告时间结束！您一定按捺不住了，对，咱们不看广告看疗效！ 三、演示环境 熟话说得好， “工欲善其事，必先利其器” ，想要体验 Quest Password Manager 在密码管理上的强大应 用，必须首先拥有一个实验环境。我利用试用版 V4.1.1 搭建了一个很简单直观的演示环境： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注：Quest Password Manager 目前最新版本是 V4.5，暂时只有英文版本。为了更好的演示，我这里 采用了支持多国语言（含简体中文）的稍旧版本 4.1.1。个人建议学习可以用老版本，真正购买用于企业 部署则用最新版本。毕竟新版本有新功能。自我感觉英文不错习惯使用英文产品的不强求，我很民主的说： ）此外，我会在文中最后附上 V4.5 拥有的新功能介绍。最后还需要说明的是，我演示时为了图个方便， 将 Quest Password Manager 和域控制器安装在了一台机器上，实际上它也可以安装到域内成员服务 器上。 四、安装条件 必要条件 桌面分辨率最低 800*600 像素，推荐 1024*768 像素或更高 Windows Server 2003 SP2 Active Directory Service IIS 6.0 Microsoft .NET Framework 2.0 Microsoft SQL Server 2005 或 Microsoft SQL Server 2005 Express 高级版（With Reporting Service） Quest Password Manager V4.1.1 软件 可选条件 证书服务（用于 SSL Web 站点） 电子邮件服务（用于邮件通知） ，可以通过安装 IIS SMTP Service 和 POP3 组件或 Exchange 来实 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 现 注： 尽管某些安装条件不必和此处提到的完全一样，例如 IIS 可以安装 5.0，但是为了保证本文更适合您 对照实验，建议保持和本文的环境相同。 Microsoft SQL Server Express 高级版随 Quest Password Manager 安装程序一起分发，可以 免费使用。此版本不同于一般的 Express 版，它自带报表服务，且已经为 SP2 版本。另外，如果安 装的是 Microsoft SQL Server 2005 其他版本，请记得安装报表服务组件。 五、安装 安装基础环境 为了节省篇幅，如何具体安装 Windows Server 2003 SP2、Active Directory Service、IIS 6.0、Microsoft .NET Framework 2.0、证书服务、电子邮件服务等本文就不赘述了，不清楚的朋友可以 去查阅论坛相关帖子。 安装 Microsoft SQL Server 2005 Express 高级版 a)运行 Quest Password Manager 安装程序，切换至“可再发行组件包”页签，点击“Microsoft SQL Server 2005 Express Edition with Advanced Services” 。 b)同意“最终用户许可协议” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)安装本地化客户端和一些 SQL 安装支持文件。 d)开启安装向导。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)进行系统配置检查，全部通过。我的测试用机是 512M 内存，可以看得出 Express 版对硬件要求果 然明显低于企业版。 f)输入用户名和公司名。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)按照图中所示安装必需组件。 h)配置身份验证模式。为了更好的提高安全性，建议选“Windows 身份验证模式” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 i)保持默认后继续。 j)选择安装默认设置。此处需要留意一下，默认 Express 的实例名是 SQLExpress，而不是和 SQL 其 他版本一样为计算机名。请不要忽略此处，否则将无法正常安装 Password Manager 和连接后端报 表服务。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 k)错误报告处理方式，我习惯什么也不选。 l)准备安装，看看安装前的摘要信息。点击“Install”开始正式安装。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 m)安装结束。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 安装 Quest Password Manager 主程序 a)运行 Quest Password Manager 安装程序，切换至“设置”页签，点击运行“Password Manager” 。 b)打开安装向导。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)输入用户名和单位信息。点击“许可证”按钮，导入从 Quest 公司申请到的临时测试 Lisence。 注：该 License 只能从 Quest 公司手动获取。可以从官网上查找联系当地销售，或发邮件给 SalesQuest .com 索取。Quest 产品几乎全是这样，没有类似微软的全功能评估版一说。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 d)同意“许可证协议”。 e)选择安装组件和路径。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 f)全新安装请选择“唯一实例” ，如果您安装过老版本，可以选择升级“现有实例的副本” 。 g)设置加密密钥的路径和文件名。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 h)指定一个有权限的服务帐号。建议用域管理员帐号。 i)输入后端数据库的实例名以及连接凭据。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 j)Quest Password Manager 是以网站形式进行管理维护的。此处设置托管在哪个网站下以及虚拟目 录的名字。我保持默认。 k)点击“安装”按钮开始真正安装过程。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 l)正在安装。 m)安装成功。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 n)在“开始”菜单中可以看到相应的程序快捷方式已经建立完毕。 安装 Quest Password Policy Manager a)为了使 Quest Password Manager 正常工作，还需要在域控制器上安装 Password Policy Manager，顾名思义，它是对密码策略进行管理配置的组件。定位到 Quest Password Manager 安装程序所在的如下路径，根据您的域控制器架构平台选择对应版本的安装程序。我的实验环境是 32 位系统，所以选择不带 X64 的安装包运行。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注：您的环境中如果有多台域控制器，请在所有域控制器上都安装如上对应组件。 b)准备安装。 c)同意“许可证协议”。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 d)输入用户名和组织名信息。 e)选择完全安装类型。 f)点击“Install”开始安装。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)安装结束。整个过程还是相当简单。最后重启计算机以便设置生效。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 安装 Quest Secure Password Extension (可选) a)默认情况下，最终用户可以通过 Web 方式登录自助式站点进行个人日常管理。为了让用户获得更好 的用户体验，可以通过活动目录自带的软件分发功能给用户计算机安装 Quest Secure Password Extension。安装完毕后，用户计算机的 Gina 登录界面将会有“忘记了密码”按钮，提供了一个便 捷操作的快速通道。这样用户就不要到其他人的计算机上登录 Web 页面了。定位到 Quest Password Manager 安装程序所在的如下路径，将对应系统平台架构的软件包复制到网络共享路径 中，并设置好相关 NTFS 和共享权限。 注：如何将该软件包分发到最终用户的计算机上有 N 种办法，您可以采用手动安装 :( ； SMS、SCCM、Landesk、Altiris 等桌面管理软件也都带有软件分发功能。我这里为了简便就用 AD 的软件分发功能。 b)新建一条 GPO 组策略对象链接至您的目标 Site、Domain、OU 上均可。为了简单，我直接挂接到 整个域上。编辑该 GPO 设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)定位到“计算机配置” “软件设置”“软件安装” ，在右边空白处右击选择“属性” 。 d)输入“默认程序包位置” ，注意是网络路径，不要设置本地路径，否则客户端会因找不到文件而导致 安装失败。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)新建程序包。找到 Quest Secure Password Extension 的 MSI 安装包，选择部署方法为“已指派”。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 f)组策略中软件分发设置完成。 g)客户端运行Gpupdate /force，重启计算机后会发现软件分发策略已经生效运用。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 h)从以下 XP 和 Vista 登录界面中可以看出“安全密码扩展”组件安装成功了。生成了一个漂亮的 Gina 登录界面。该界面提供了一个重置密码的快速通道。 注： 如果您测试的客户端系统是 XP SP3，有可能不会出现新的 Gina 界面，解决方法参考强制运行 Secure Password Extension 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 i)登录系统后会发现在桌面上（如下图所示）和“开始” ， “程序”菜单中均生成了一个登录自助式站 点的快捷方式。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 六、配置 服务器配置 全局配置 a)点击“开始”菜单中 Quest Password Manger 管理站点链接，登录后呈现出来的是一个纯中文界 面。其中主要包含三大组件。点击“Select Language”可以按照自己的使用习惯选择不同的语言 版本，它提供了对多种主流语言的支持。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 b)点击“设置” ，可以对所有的托管域进行相关全局设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)在“自助式站点”一栏，可以进行如下“安全”性方面设置： 默认情况下隐藏用户的回答，这样用户的回答将会以加密的星号呈现，避免输入的时候被其他人查 看。不过为了避免用户输入错误，会要求再输入一次用户的回答以进行确认。 允许用户隐藏自己的回答，这样用户可以自主选择是否隐藏自己的回答。如果公司安全级别要求较 高，必须强制要求隐藏明文回答，则可以将此处不勾选，同时勾选上面的默认情况下隐藏用户的回 答。 只有一个注册域时显示域名，略。 注：由于设置项较多，一些从字面上就能看出其作用的或我认为不需要特别注意的设置就不做过多 解释了，敬请理解。下同。 阻止用户看到回答不正确的问题，略。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 d)在“自助式站点”一栏，可以进行如下自助式任务设置： 允许用户解锁其帐户 允许用户重设其密码 允许用户更改其密码 允许用户更改其警报设置 建议如上选项都开启，否则用户不自助的话管理员会累死的，本产品也就基本等于形同虚设了。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)在“自助式站点”一栏，可以进行如图所示的“帐户搜索选项”方面设置： f)在“自助式站点”一栏，可以进行如图所示中的“电子邮件通知设置” 。用来设置触发通知事件类型 是否启用以及用户是否更改管理员设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)在“帮助台站点”一栏，可以进行如下设置： 是否允许帮助台操作员解锁用户帐户 是否允许帮助台操作员重设用户密码 允许帮助台操作员指定密钥，帮助台人员提供给未注册问与答配置文件用户重设密码时需要出具的 密钥以及密钥存活的时间。默认是一个小时。 是否允许帮助台操作员解锁用户的问与答配置文件，当用户回答问题时错误指定次数后将会导致个 人问与答配置文件锁定，勾选此处则可以由帮助台操作员帮忙解锁。 是否允许帮助台操作员要求用户更新其问与答配置文件，略 帮助台操作员必须通过以下方式验证用户身份，帮助台操作员必须通过指定的身份验证方式后，才 能对用户进行管理操作。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 h)在“SMTP 服务器”一栏，可以配置 SMTP 服务器选项以便对用户发送邮件通知。哪些类型的事件 会触发通知操作取决于前面的电子邮件通知设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 i)在“警报和收件人”一栏，可以配置哪些人会接收到警报通知以及指定警报事件。 j)在“配置文件更新原则”一栏，可以指定配置文件更新策略。 注：不过貌似没有类似隔多长时间必须更新个人的配置文件的设置，未免有点遗憾。但该功能却在 帮助台操作员管理某个具体用户的问与答配置文件时有提供。有点不理解为什么不弄一个全局设置 出来。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 托管域、密码策略配置 a)全局配置设置好后，还需要先注册当前环境中的域名进行托管才能接受管理。登录管理站点，点击 “托管域”。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 b)点击“添加域” 。 c)输入域名并提供有效凭据。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 d)点击“配置密码管理设置” 。 e)在“常规”一栏，您可以配置该托管域的登录安全选项和用户注册计划： 是否密码在 Password Manager 中重置后，用户必须更改密码 是否强制密码历史 问与答配置文件锁定条件 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 指定用户注册计划选项 f)在“问题”一栏，可以进行对应语言的问题设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)问题由三部分组成， “必需问题” 、 “可选问题”和“用户自定义问题“。顾名思义，必需问题是所有 人都必须回答的问题，由管理员预定义；可选问题是用户选择性回答的问题，也是由管理员预定义。 用户自定义问题则是由用户自己创建的私人问题。 注： 以上问题创建个数不限。 可选问题是否真”可选“，得取决于” “用户必须回答这么多可选问题才能完成注册”的设置， 如果您设置为非 0 整数，那么可选问题就变成必选问题了。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 h)配置用户必须“要回答的问题”个数。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 i)在“问与答策略一栏，可以设定： 回答的最短长度 用户定义的问题的最短长度 拒绝为不同问题提供相同答案 拒绝属于对应问题一部分的回答 使用可还原的加密保存回答 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 j)如果要配置跨平台密码同步，则可以在“连续的系统”一栏，配置和 Microsoft Identity Integration Server（MIIS）集成起来工作。 更多请参看跨平台密码同步方案。 k)通过以上操作，我们建立了第一个托管域。现在需要做的是，在该托管域下建立第一条密码策略。 找到如图所示位置，点击密码策略下的“未配置任何策略” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 l)点击“新策略” 。 m)输入“策略名称” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 n)通过如上系列操作建立好一条空密码策略后，点击“配置密码策略” 。 o)默认情况下，建立好的密码策略处于禁用状态，要让策略生效需要取消“禁用此策略”勾选。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 p)在“策略规则”一栏，可以对密码策略进行详细的定制，几乎囊括了密码策略的所有方方面面。灵 活度远远超过 Windows 系统自带的密码策略。此处先不具体介绍每个规则的具体设置，暂先允许 我埋个伏笔。详情请参考后面的密码策略详解章节。 q)在“策略范围”一栏，可以配置该策略链接对象，可以链接到S（Site） ；D（Domain） ； OU（Organization Unit）上。同时可以配置仅适用于哪些组。默认对 Authenticated Users 组生 效，也就是对所有经过身份验证的域用户和计算机都生效。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 r)需要注意的是，通过以上方式建立一条密码策略本质上是建立了一条特殊的 GPO 在您的目标链接对 象上。修改“该策略中的设置仅适用于下列组”实际上就是修改该 GPO 的“安全”筛选。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注： 说该 GPO“特殊”是因为它不能通过常规的方法去编辑。只能通过我们之前介绍的方法进行 Web 管理。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 密码策略详解 a)接下来将进行密码策略的详解。之所以单独拿出来介绍，就是想让大家见识一下 Quest Password Manager 对密码策略颗粒化的控制。甚至远超 Windows Server 2008 引以为豪的多元密码策略。 首先看看“长度规则”，包含最少/最多多少个字符。最多多少个字符 Windows 的密码策略则不能 定义。 b)在“必须的字符串规则”中，可以设置密码是否必须包含字母、大小写、特殊符号中的任意组合， 以及这些字符规定出现的次数和位置。例如，可以要求首位必须是特殊符号，偶数位必须是数字， 结尾又必须是特殊符号等。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)在“不允许的字符串规则”中，可以定义和“允许的字符规则”完全相反的设置，例如某个或某些 位置不能是数字或特殊符号。 d)在“顺序规则”中，可以设置重复的字符数不能超过某个数；相同的字符数不能超过某个数；正反 都有顺序的数字或字母不能超过某个数；是否区分大小写等。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)在“用户属性规则”中，可以设置密码不能包括用户帐户一部分或全部。 f)在“字典规则”中，可以定义密码不能和字典文件 QPMDictionary.txt 中预定义的字符串开始一部 分或全部相同。该字典文件在如图所示位置。里面内置了很多弱口令。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)在“对称规则”中，可以设置“拒绝从前后读都一样的密码”等选项。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 客户端组策略配置 常规设置 导入 Quest Password Manager 管理模板 a)Quest Password Manager 提供了非常标准的 ADM 组策略管理模板文件，用来对相关客户端策略 进行集中配置管理。从安装文件的如下路径中拷贝对应语言版本的 adm 文件至%Windir%的 Inf 目 录。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 b)打开目标 GPO，定位到“计算机配置”管理模板” ，右击“添加/删除模板” ，添加前面拷贝好 的 ADM 模板即完成了 Quest Password Manager 管理模板的导入工作。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注：此管理模板只有针对“计算机配置”部分的设置，没有针对“用户配置”的设置。 指定自助式站点的 URL 路径 默认情况下此处未配置。这将导致 Quest Secure Password Extension 安装好后，用户无法访问通过 Gina 或 Web 浏览器的方式访问自助式站点。如下图所示。从图中可以看出默认访问的是客户端本机的 URL 地址。自然会无法访问。 需要将此处设置为“已启用” ，并指定一个自助式站点的 URL 路径，如： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 Http://PRMSelfService。 强制运行 Secure Password Extension 此处指定在某些特殊情况下是否仍然启用 SPE，如因安装了最新的 Service Pack 补丁包导致不在 Quest Password Manager 支持列表中。前面遇到的 XP SP3 不显示 Gina 就是个例子。估计是该版本发布之际 XP SP3 还没有发布，导致没有包含到兼容列表中去。为了更好的获得用户体验，建议启用该设置。 强制 HTTPS 此处指定是否为各站点强制启用 Https 加密连接。在本演示中我就不配置了。强烈建议在生产环境中为各 站点申请一张 SSL 证书以启用 HTTPS。然后在 IIS 上或此处策略设置中启用强制要求 Https 连接。需要 了解更多，请查看“为站点启用 HTTPS” 代理设置 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 本演示环境中无需用到该设置，略。 快捷方式策略 Secure Password Extension 安装完毕后，会在客户端生成若干快捷方式。此设置集可以定义是否创建 桌面快捷方式、其他快捷方式以及快捷方式被用户删除后是否自动还原。为了更好的获得用户体验，建议 启用“欢迎自助式站点的桌面快捷方式” 。另外两个设置可以显性设置为“已禁用” 。或者保持“未配置” 状态亦可。因为默认就是创建桌面和其他快捷方式。 使用策略设置 此设置集可以定义 Gina 登录界面上是否显示一个自定义按钮并定义相关链接。用户可以点击该自定义按 钮获取友好性的提示信息。URL 链接可以是一个 TXT 纯文本文件、也可以是一个 Html 链接或一个 Doc 文档。将“显示使用策略按钮（命令）链接”设置为“已启用” ，同时将“以中文（中华人民共和国或简 体中文）为使用策略按钮（命令属性）”按如下图设置。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 应用效果如下： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 “管理我的密码”设置 此设置集可以修改 Gina 登录界面的默认“管理我的密码”为自定义文字，表达效果和设置方法与前面介 绍的自定义一个帮助按钮类似。不再赘述。 注册通知 此设置集可以指定是否为最终用户启用注册通知，如果启用该设置，未注册用户登录到安装了 Secure Password Extension 的计算机上后，通知区域会弹出一个气球通知用户注册自己的问与答配置文件。为 了防止用户忘记注册，可以启用这些功能： “启用注册通知”设置为“已启用” ，并设置一个通知显示的时间间隔。 同时还可以设置是否取代默认的通知文本以及自定义消息通知内容。我这里不设置保持默认。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 Windows Vista 之前的操作系统的设置 强制注册 此设置指定用户尚未注册个人问与答配置文件或配置文件无效时，是否必须创建或更新问与答配置文件后 才能登录网络。启用该设置后，未注册用户登录后会被自动重定向到自助式站点的“我的问与答配置文件” 页上。建议启用该设置。 Secure Password Extension 徽标 此设置可以自定义一个 Vista 之前系统的对话框背景图像。将“设置对话框背景图像”设置为“已启用” ， 并指定一个背景图像的路径。该背景图片必须在客户端的本地路径中存在。不支持直接设置为网络共享路 径。可以参考将如下内容另存为 bat 或 cmd 脚本，然后通过 AD 组策略部署成启动脚本。它是将网络共 享中的文件拷贝到%Windir%环境变量对应的目录中。至于如何部署启动脚本此处不再赘述，不清楚的朋 友可以去查阅论坛相关帖子。 echo off xcopy DCshareQPMWallPaper.JPG %windir% /C /Y 注： 这个脚本简单得不能再简单了，每次计算机启动都会覆盖这个文件。适合要经常修改图片的情况。 如果您只复制一次，则可以修改脚本加一些判断方法。否则每次启动都复制就太没有必要了。我这 里只是做演示。您完全可以按照自己的喜好 DIY。 Vista 之前的系统使用的背景图片格式必须是.bmp，大小为 417*58 像素 Vista 系统使用的背景图片格式可以为.bmp、.gif、.jpg、.png，大小为 128*128 像素 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 应用效果如下： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 “忘记我的密码”设置 此设置集可以修改 Vista 之前系统 Gina 登录界面的默认“忘记了密码”为自定义文字，表达效果和设置 方法与前面介绍的自定义一个帮助按钮类似。不再赘述。 Windows Vista 设置 Secure Password Extension 徽标 此设置可以修改 Vista 系统登录界面的默认 128*128 像素的徽标图片。表达效果和设置方法与前面介绍 的自定义一个 Vista 之前系统的 Secure Password Extension 徽标类似。不再赘述。 安全密码扩展平铺名 此设置集可以修改 Vista 系统登录界面的默认“Quest Secure Password Extention”为自定义文字，表 达效果和设置方法与前面介绍的自定义一个帮助按钮类似。不再赘述。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 七、操作 自助式操作 创建、更新个人问与答配置文件 a)至此，管理员在服务端的配置基本上就结束了。接下来需要最终用户注册自己的个人问与答配置文 件。打开自助式站点的链接，输入自己的用户名。 b)点击“我的问与答配置文件”。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)输入密码，以便表明自己的合法身份。 d)回答安全管理员创建的必需问题和可选问题，并创建自己的自定义问题。如果勾选“出于安全目的 隐藏我的回答” ，则需要输入两次答案。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)不勾选则只需要输入一次。因为通过显示的明文回答您可以知道自己是否输入错误。 f)成功创建了问与答配置文件。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 重设个人密码 a)配置文件创建好后就可以测试一下在忘记原密码的情况下重设个人密码的功能了。在 Gina 登录界面 中点击“管理我的密码” ，当然您也可以通过 Web 方式登录自助式站点进行相同操作。 b)输入自己的用户名。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)点击“忘记了密码” 。 d)回答问题。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)问题回答正确后，便可以输入新密码了。 f)重设密码成功。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)张三本人立刻收到了邮件，通知密码已成功修改。 h)用新密码登录后提示“您必须在第一次登录时更改密码” 。表明新密码的确重设成功。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 修改个人密码 如果您的当前密码并没有忘记，而是希望修改密码，则可以通过点击如下页面中的“管理我的密码” ，然 后按照提示进行对应操作。不过个人还是比较偏向按 Ctrl + Alt +Delete 组合键来修改密码。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 解锁个人帐号 a)如果您的帐户被锁定，则可以点击“解锁我的帐户”进行操作。 b)回答问题。 c)成功通过问题验证后，帐户被解锁。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 配置个人警报 您还可以通过点击自助式站点首页的“我的警报”来配置发生了某种或某些事件的时候发邮件通知我。例 如，我希望每次修改密码都能发邮件通知我，这样就能知道是否有人因盗取了我的问题答案而修改过密码。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 帮助台操作 重设用户密码 a)不但最终用户可以自主管理自己的密码，还可以让帮助台操作员帮忙重设用户密码。方法是帮助台 操作人登录帮助台站点，输入要管理的用户名。 b)搜索结果中出现我要查找的用户张三。点击张三帐户会程序帮助台操作员能对其进行的所有操作。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注： 帮助台操作员能对用户进行的操作随用户帐户状态不同而略有不同。例如，如果张三帐户此时是锁 定状态，那么此处还会有解锁操作提供给帮助台操作员。 c)点击“重设密码” 。 d)回答问题以表明操作员身份。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)帮助台操作员回答问题正确后，就可以帮用户重设密码了。输入新密码。 f)张三的密码被帮助台操作员成功重设。张三也收到了邮件通知。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)张三用新密码登录，提示更改密码。符合预期目标。 管理用户问与答配置文件 a)此外，帮助台操作员还可以管理用户的问与答配置文件。点击“管理问与答配置文件” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 b)可以对用户的问与答配置文件进行如下设置： c)如果用户在自主重设密码的时候，回答问题错误次数超过指定的数值，则会导致用户问与答配置自 动锁定。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 d)此时，帮助台操作员对用户的问与答配置文件设置还多了一个“解锁用户的问与答配置文件”。 e)问与答配置文件已解锁，用户又可以尝试回答问题了。 指定临时密钥 a)如果用户忘记了问题的答案，则可以由帮助台操作员指定一个临时密钥。操作方法是登录帮助台站 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 点，点击首页中的“指定密码” 。 b)系统会自动生成一个临时密钥。过期时间默认为一个小时。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)未注册用户此时点击 Gina 登录界面的“忘记了密码“。 d)输入用户名。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)点击“我有密钥”。 f)输入从帮助台操作员那里获取到密钥。 g)密钥输入正确后，则可以重新编辑问与答配置文件。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注： 指定临时密钥还适用于未在 Password Manager 中注册个人问与答配置文件的用户忘记密码的场 景。操作方法和前面的步骤基本类似。 解锁用户帐号 a)用户帐户锁定后也可以由帮助台操作员帮忙代为解锁。操作员登录帮助台站点主页后，点击“解锁 帐户锁定” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 b)验明帮助台操作员身份。 c)通过验证后成功帮用户解锁。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 八、报表 a)Quest Password Manager 不仅为我们提供了简便又强大的密码管理功能，还提供了丰富的报表功 能供我们使用。点击管理站点主页中的“报告”。此外，在该页面中还可以看到直观简便的用户统计 数据。 b)点“连接到现有报告服务器” 。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 c)输入服务器实例名称。Express 版的默认实例为“服务器名SqlExpress” ，其他版本 SQL 请自行变 更。 d)自带了若干报告类型。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 e)配置文件状态报告： f)配置文件状态分布报表： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 g)按用户操作排列的操作报告： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 h)操作分布报表： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 i)按类型排列的操作报告： 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 j)按实例排列的操作报告： 九、其他 开启/关闭注册通知 默认情况下，最终用户不会接收到要求注册问与答配置文件的通知，需要管理员在活动目录中新建一个名 为“QPMRegistration”的域本地组，然后将需要收到注册通知的用户或组加入其中即可。反之，如果 希望个别用户或组不接收注册通知，则需要管理员在活动目录中新建一个名为“NoQPMRegistration” 的域本地组。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 如下是用户收到的邮件，提醒用户注册个人问与答配置文件。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 注： 默认情况下就是不发送注册提醒，还有必要建立 NoQPMRegistration 组吗？答案是有必要。如果 您为图省事将 Domain Users 都加入到了 QPMRegistration 中（毕竟大部分人都需要） ，这个时 候您就可以考虑建立 NoQPMRegistration 组来筛选个别情况。 如果建立了相应的组仍没有接收到了注册通知，可以将计划任务里的任务“Quest Password Manager”手动运行一次。该情况在做实验的时候有可能遇到，因为默认该任务是每天凌晨一点才 运行一次。可以按需修改时间调度。但是不建议删除该任务。 选择加密方式和散列算法 默认情况下，Quest Password Manager 使用 128 位 RC4 的加密算法来保护配置数据，例如问与答配 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 置文件，使用 MD5 散列算法来保护用户的安全答案。如果您觉得加密强度仍不够或者贵公司对信息安全 有更高的要求，您也可以选择结合 AES-256 高级数据加密方式和 SHA-256 安全散列算法来实现您的要 求。具体实现方法如下： 如果想在 Quest Password Manager 安装期间指定加密方式和散列算法，可以通过在安装程序后附 加AES_SHA_256=“yes“参数来实现： Msiexec /i “ Quest Password Manager.msi 安装文件所在具体路径“ AES_SHA_256=“yes“ 如果 Quest Password Manager 已经按照默认加密方式安装完毕，则可以通过编辑local.spr文件 来实现。该文件默认不存在，需要使用记事本添加如下内容来创建保存在”C:Program FilesQuest SoftwareQuest Password ManagerPrmDll“ (请按照实际情况变更路径): csp=AES klen=256 calg=AES256 halg=SHA256 注： Local.spr 中的内容对大小写敏感 修改完毕后建议重启服务器使配置生效 一旦您做了如上修改，您不能再回滚到之前默认的 RC4 和 MD5 加密、散列算法 为站点启用 HTTPS 尽管 Quest Password Manager 已经采用了复杂的加密方式和散列算法来保证配置数据的安全，但是默 认情况下各站点提供的是 Http 未加密协议访问方式。这就有可能造成不怀好意的分子恶意监听数据包， 例如嗅探用户的问与答设置。所以，Quest 公司强烈建议在 Quest Password Manager 安装完毕后，申 请一张 SSL 证书为各站点启用 Https 加密访问方式。如何申请证书此处不再赘述，不清楚的朋友可以去 查阅论坛相关帖子。 注：修改站点访问方式后，请记得按照前面提及的方法修改组策略相关设置，将 URL 链接进行更新。否 则访问的还是以前的 Http URL。 尊重原创，转载请说明来自 Winos 中文技术论坛 尘封心 增/删安全管理员 默认情况下，只有在安装了 Quest Password Manager 的服务器上的本地管理员组中成员才能访问管理 站点，如果您需要委派其他人访问管理站点的权限，需要将目标用户或组加入名为“QPMAdmin”的本 地域组中（该组在 Quest Passw