在Windows服務(wù)器中，使用一個(gè)Windows登錄腳本來限制并發(fā)會(huì)話靠譜嗎？

事實(shí)上，這種解決方案存在很多缺點(diǎn)和弱點(diǎn)，并不能滿足大中型IT基礎(chǔ)設(shè)施的安全性需求。

一、使用登陸腳本限制并發(fā)會(huì)話，惡意用戶可以輕易刪除登陸腳本

利用登陸腳本來限制Windows上的并發(fā)會(huì)話乃是這樣：在Windows服務(wù)器中，并發(fā)會(huì)話是基于一個(gè)隱藏的共享。當(dāng)用戶打開一個(gè)會(huì)話時(shí)登錄腳本會(huì)創(chuàng)建一個(gè)文件，當(dāng)用戶關(guān)閉會(huì)話時(shí)這個(gè)文件又被刪除。當(dāng)?shù)诙€(gè)用戶試圖打開會(huì)話時(shí)，腳本會(huì)檢查文件是否已經(jīng)存在，如果存在，登錄就會(huì)被拒絕。

然而，在這種方案中，登錄腳本是以用戶身份執(zhí)行的。你需要給每個(gè)用戶訪問權(quán)限，使他們可以訪問共享的會(huì)話文件。這樣一來，任何惡意用戶都可以輕易刪除腳本。 （如果你不給出訪問權(quán)限，windows 登陸腳本就不能創(chuàng)建或刪除會(huì)話文件。）

二、使用登陸腳本限制并發(fā)會(huì)話，網(wǎng)絡(luò)安全得不到保障

也許windows 登陸腳本的開發(fā)人員會(huì)說：這種共享是隱藏的，不會(huì)對網(wǎng)絡(luò)安全造成威脅。但是，這并不能有效保障網(wǎng)絡(luò)安全，因?yàn)樯晕⒙斆?的用戶都能輕易檢索到共享文件的路徑。況且，任何一個(gè)用戶都能創(chuàng)建或刪除文件，也能限制他人登錄（讓某些人可以登錄某些人不能登錄），這樣你的網(wǎng)絡(luò)安全也就得不到保障。

那么，怎樣才是防止或限制并發(fā)登錄最好的方式呢？

那就是將控制并發(fā)登錄作為訪問控制解決方案的一部分。

UserLock是一種獨(dú)特的解決方案，無論是基于單個(gè)用戶、用戶組或是會(huì)話類型，UserLock都能夠限制和防止并發(fā)登錄到你的Windows網(wǎng)絡(luò)。

UserLock提供強(qiáng)大的訪問控制，通過允許或拒絕登錄（包括并發(fā)登錄）、工作站訪問和使用/連接時(shí)間來保護(hù)Windows網(wǎng)絡(luò)中的所有數(shù)據(jù)。使用UserLock，你可以根據(jù)個(gè)人用戶、用戶組或是組織單位定義和設(shè)置一個(gè)批準(zhǔn)用戶登錄的程序。你也可以按會(huì)話類型（終端、 Wi-Fi/Radius 、工作站等） 進(jìn)行定義和設(shè)置。

UserLock還提供對所有網(wǎng)絡(luò)訪問實(shí)時(shí)的會(huì)話監(jiān)測和報(bào)告。一旦檢測到任何可疑的訪問事件，UserLock會(huì)自動(dòng)提醒安全管理員，安全管理員可以隨即快速反應(yīng)，進(jìn)行遠(yuǎn)程鎖定、 注銷或重置相應(yīng)的會(huì)話。

UserLock提供不限于本地Windows的安全控制

使用Windows Active Directory，你也可以進(jìn)入用戶的賬戶，限制其從特定的計(jì)算機(jī)上登錄。然而，在用戶組或組織單位中，Windows Active Directory無法對其限制。UserLock提供不限于本地Windows的安全控制，可從一個(gè)用戶到另一個(gè)用戶，一個(gè)組到另一個(gè)組，或一個(gè)部門到另一個(gè)部門。UserLock 可阻止用戶、用戶組或企業(yè)部門的多種工作站的登陸。如：自己的工作站、IP范圍、部門、樓層或大樓等。

>>擴(kuò)展閱讀：

UserLock實(shí)現(xiàn)Windows Network所有會(huì)話的限制登錄和訪問控制

使用Userlock監(jiān)控用戶訪問 增強(qiáng)學(xué)校網(wǎng)絡(luò)安全

>>UserLock詳情及下載