提高Windows網絡安全一個重要的方法就是基于自定義的標準控制用戶訪問。

根據定制的用戶訪問策略限制用戶登錄來執行這種嚴格的訪問控制。它不斷地監控所有登錄和會話事件,自動應用定制政策允許或拒絕登錄,工作站訪問和使用/連接時間。

定義受保護賬戶

自定義的保護賬戶可以由UserLock規則可以應用的用戶、用戶組或組織單位(OU)組成。受UserLock保護的賬戶總是會覆蓋保護帳戶設置。在權限允許的條件下可以選擇UserLock應該使用的策略規則。

注意:因為UserLock集成了Active Directory活動目錄,只需輸入用戶帳號名稱，UserLock將檢查這個帳戶對應的活動目錄,并將它添加在控制臺。

對于每個受保護的賬戶，可以設置以下限制：

打開會話的最大數量和類型

定義允許的并發會話的數量。這包括用戶可以進行同時登錄的工作站最大數量,用戶可以打開終端會話的最大數量,工作站和終端允許交互式會話總數。

限制用戶可以同時打開Wi-Fi/VPN會話的最大數量,和允許IIS會話的最大數量。

也可以設置多種類型會話組合在一起的最大數量限制。

如果已經達到了允許會話的最大數量，可以提供一個用于允許或拒絕用戶登出現有會話的選項。

工作站限制

限制受保護賬戶可以登錄的工作站/終端從。通過定義IP范圍,計算機名/ IP或各個單位部門進行限制。

時間限制

定義受保護用戶的工作時間和最大會話時保護用戶。管理員可以設置每一天的允許登錄時間。對于每個時間段都可以指定的相關的限制會話類型。如果發生Interactive sessions超時的情況,管理員可以在關閉會話,鎖定會話或不進行處理等三種方法中進行選擇。

Time Quota可以以小時或分鐘為單位在不同時期中進行設置(這些不同時期包括天、周、月、季度、年度、學期等等)。對于同一個保護帳戶可以定義多個時間段使每一種會話類型都在不同的時間進行。

其它特性

• 限制了用戶使用共享憑證訪問網絡,因為它會影響他們自己訪問網絡的能力
• 在一個賬戶已經登錄的時候限制這個賬戶進行再次非法登錄
• 為無線網絡和使用的BYOD（自帶辦公設備）提供安全保證
• 符合SOX、FISMA、HIPAA等主要法規