在Windows服務器中，使用一個Windows登錄腳本來限制并發(fā)會話靠譜嗎？

事實上，這種解決方案存在很多缺點和弱點，并不能滿足大中型IT基礎設施的安全性需求。

一、使用登陸腳本限制并發(fā)會話，惡意用戶可以輕易刪除登陸腳本

利用登陸腳本來限制Windows上的并發(fā)會話乃是這樣：在Windows服務器中，并發(fā)會話是基于一個隱藏的共享。當用戶打開一個會話時登錄腳本會創(chuàng)建一個文件，當用戶關閉會話時這個文件又被刪除。當第二個用戶試圖打開會話時，腳本會檢查文件是否已經存在，如果存在，登錄就會被拒絕。

然而，在這種方案中，登錄腳本是以用戶身份執(zhí)行的。你需要給每個用戶訪問權限，使他們可以訪問共享的會話文件。這樣一來，任何惡意用戶都可以輕易刪除腳本。 （如果你不給出訪問權限，windows 登陸腳本就不能創(chuàng)建或刪除會話文件。）

二、使用登陸腳本限制并發(fā)會話，網絡安全得不到保障

也許windows 登陸腳本的開發(fā)人員會說：這種共享是隱藏的，不會對網絡安全造成威脅。但是，這并不能有效保障網絡安全，因為稍微聰明的用戶都能輕易檢索到共享文件的路徑。況且，任何一個用戶都能創(chuàng)建或刪除文件，也能限制他人登錄（讓某些人可以登錄某些人不能登錄），這樣你的網絡安全也就得不到保障。

那么，怎樣才是防止或限制并發(fā)登錄最好的方式呢？

那就是將控制并發(fā)登錄作為訪問控制解決方案的一部分。

UserLock是一種獨特的解決方案，無論是基于單個用戶、用戶組或是會話類型，UserLock都能夠限制和防止并發(fā)登錄到你的Windows網絡。

UserLock提供強大的訪問控制，通過允許或拒絕登錄（包括并發(fā)登錄）、工作站訪問和使用/連接時間來保護Windows網絡中的所有數據。使用UserLock，你可以根據個人用戶、用戶組或是組織單位定義和設置一個批準用戶登錄的程序。你也可以按會話類型（終端、 Wi-Fi/Radius 、工作站等） 進行定義和設置。

UserLock還提供對所有網絡訪問實時的會話監(jiān)測和報告。一旦檢測到任何可疑的訪問事件，UserLock會自動提醒安全管理員，安全管理員可以隨即快速反應，進行遠程鎖定、 注銷或重置相應的會話。

UserLock提供不限于本地Windows的安全控制

使用Windows Active Directory，你也可以進入用戶的賬戶，限制其從特定的計算機上登錄。然而，在用戶組或組織單位中，Windows Active Directory無法對其限制。UserLock提供不限于本地Windows的安全控制，可從一個用戶到另一個用戶，一個組到另一個組，或一個部門到另一個部門。UserLock 可阻止用戶、用戶組或企業(yè)部門的多種工作站的登陸。如：自己的工作站、IP范圍、部門、樓層或大樓等。

>>擴展閱讀：

UserLock實現Windows Network所有會話的限制登錄和訪問控制

使用Userlock監(jiān)控用戶訪問 增強學校網絡安全

>>UserLock詳情及下載