提高Windows网络安全一个重要的方法就是基于自定义的标准控制用户访问。
UserLock根据定制的用户访问策略限制用户登录来执行这种严格的访问控制。它不断地监控所有登录和会话事件,自动应用定制政策允许或拒绝登录,工作站访问和使用/连接时间。
定义受保护账户
自定义的保护账户可以由UserLock规则可以应用的用户、用户组或组织单位(OU)组成。受UserLock保护的账户总是会覆盖保护帐户设置。在权限允许的条件下可以选择UserLock应该使用的策略规则。
注意:因为UserLock集成了Active Directory活动目录,只需输入用户帐号名称,UserLock将检查这个帐户对应的活动目录,并将它添加在控制台。
对于每个受保护的账户,可以设置以下限制:
打开会话的最大数量和类型
定义允许的并发会话的数量。这包括用户可以进行同时登录的工作站最大数量,用户可以打开终端会话的最大数量,工作站和终端允许交互式会话总数。
限制用户可以同时打开Wi-Fi/VPN会话的最大数量,和允许IIS会话的最大数量。
也可以设置多种类型会话组合在一起的最大数量限制。
如果已经达到了允许会话的最大数量,可以提供一个用于允许或拒绝用户登出现有会话的选项。
工作站限制
限制受保护账户可以登录的工作站/终端从。通过定义IP范围,计算机名/ IP或各个单位部门进行限制。
时间限制
定义受保护用户的工作时间和最大会话时保护用户。管理员可以设置每一天的允许登录时间。对于每个时间段都可以指定的相关的限制会话类型。如果发生Interactive sessions超时的情况,管理员可以在关闭会话,锁定会话或不进行处理等三种方法中进行选择。
Time Quota可以以小时或分钟为单位在不同时期中进行设置(这些不同时期包括天、周、月、季度、年度、学期等等)。对于同一个保护帐户可以定义多个时间段使每一种会话类型都在不同的时间进行。
其它特性
- 限制了用户使用共享凭证访问网络,因为它会影响他们自己访问网络的能力
- 在一个账户已经登录的时候限制这个账户进行再次非法登录
- 为无线网络和使用的BYOD(自带办公设备)提供安全保证
- 符合SOX、FISMA、HIPAA等主要法规
来源:oschina
链接:https://my.oschina.net/u/1172191/blog/146414