在Windows服务器中,使用一个Windows登录脚本来限制并发会话靠谱吗?
事实上,这种解决方案存在很多缺点和弱点,并不能满足大中型IT基础设施的安全性需求。
一、使用登陆脚本限制并发会话,恶意用户可以轻易删除登陆脚本
利用登陆脚本来限制Windows上的并发会话乃是这样:在Windows服务器中,并发会话是基于一个隐藏的共享。当用户打开一个会话时登录脚本会创建一个文件,当用户关闭会话时这个文件又被删除。当第二个用户试图打开会话时,脚本会检查文件是否已经存在,如果存在,登录就会被拒绝。
然而,在这种方案中,登录脚本是以用户身份执行的。你需要给每个用户访问权限,使他们可以访问共享的会话文件。这样一来,任何恶意用户都可以轻易删除脚本。 (如果你不给出访问权限,windows 登陆脚本就不能创建或删除会话文件。)
二、使用登陆脚本限制并发会话,网络安全得不到保障
也许windows 登陆脚本的开发人员会说:这种共享是隐藏的,不会对网络安全造成威胁。但是,这并不能有效保障网络安全,因为稍微聪明的用户都能轻易检索到共享文件的路径。况且,任何一个用户都能创建或删除文件,也能限制他人登录(让某些人可以登录某些人不能登录),这样你的网络安全也就得不到保障。
那么,怎样才是防止或限制并发登录最好的方式呢?
那就是将控制并发登录作为访问控制解决方案的一部分。
UserLock是一种独特的解决方案,无论是基于单个用户、用户组或是会话类型,UserLock都能够限制和防止并发登录到你的Windows网络。
UserLock提供强大的访问控制,通过允许或拒绝登录(包括并发登录)、工作站访问和使用/连接时间来保护Windows网络中的所有数据。使用UserLock,你可以根据个人用户、用户组或是组织单位定义和设置一个批准用户登录的程序。你也可以按会话类型(终端、 Wi-Fi/Radius 、工作站等) 进行定义和设置。
UserLock还提供对所有网络访问实时的会话监测和报告。一旦检测到任何可疑的访问事件,UserLock会自动提醒安全管理员,安全管理员可以随即快速反应,进行远程锁定、 注销或重置相应的会话。
UserLock提供不限于本地Windows的安全控制
使用Windows Active Directory,你也可以进入用户的账户,限制其从特定的计算机上登录。然而,在用户组或组织单位中,Windows Active Directory无法对其限制。UserLock提供不限于本地Windows的安全控制,可从一个用户到另一个用户,一个组到另一个组,或一个部门到另一个部门。UserLock 可阻止用户、用户组或企业部门的多种工作站的登陆。如:自己的工作站、IP范围、部门、楼层或大楼等。
>>扩展阅读:
UserLock实现Windows Network所有会话的限制登录和访问控制 http://www.evget.com/zh-CN/Info/catalog/19252.html
使用Userlock监控用户访问 增强学校网络安全 http://www.evget.com/zh-CN/Info/catalog/19482.html
UserLock详情及下载 http://www.evget.com/zh-CN/product/3232/feature.aspx