Windows数据安全（三）帐户策略

上一篇讲的Windows的密码策略，密码是基于帐户存在的，所以本篇讲一下Windows的帐户策略。

帐户的内容比较多，我将从帐户的分配、帐户的权限、帐户的锁定、帐户的登录几个方面来讲。

帐户的分配：

Window中的帐户，我们常用的主要有两个级别，管理员和标准用户。那么问题来了，1，操作工能否使用管理员用户？2，操作员能否共用一个标准用户？

先回答第一个问题，操作工不能使用管理员用户。在Windows里面，Administrator用户就是神一样的存在，他什么都可以做，他可以安装程序、卸载程序，可以修改时间、删除数据，可以新建用户、删除用户，这个权限太大了，所以，一般把他赋予非利益相关方，也就是IT或行政部门的人。

当然，现在有的企业存在一个问题，某些仪器软件只能在Administrator帐户下运行，这就需要做两个工作，①增加对这台电脑的各种数据的审核频次，包括业务数据、Windows日志数据等，确保不会出现数据可靠性问题，②督促供应商尽快升级软件，要求能够使用Windows标准用户操作仪器软件。

第二个问题，操作工能否共用Windows标准用户？答案是看情况。如果你所使用的应用程序的数据都在这台电脑上，例如方法、日志、检测结果等，那所有操作员必须独立用户，每人使用自己的帐户。如果这台电脑只是一个终端界面，所有的业务数据都存在服务器上，GMP活动也不会产生任何的Windows日志，员工进入Windows后只能打开应用程序，打不开其他任何的界面，这种情况下，操作员可以共用一个Windows标准用户，因为这只是一个入口，对GMP活动没有任何的影响。

帐户的权限：

Windows对管理员和标准用户的权限进行了区分，但还有一些地方需要我们自己去设置。

例如，企业设置了专人定期对所有的时钟进行校准，那就需要给这个人赋予修改时间的权限，同时取消其他所有人修改时间的权限。

还是老步骤，管理员身份打开运行窗口，输入gpedit.msc。

在打开的组策略编辑器中依次点击计算机配置--Windows设置--安全设置--本地策略--用户权限分配。

双击右侧的更改系统时间，删除掉默认的Administrators用户组

然后点添加用户或组，在弹出窗口中输入要添加的用户名，确认即可。

帐户的锁定：

为了防止有人恶意猜测密码，系统一般会设计一个帐户锁定的功能，即当有人连续多次输入一个错误密码时，这个帐户将会被锁定一段时间，就像在ATM机上连续三次输错密码会被吞卡一样，都是为了防止有人恶意破解，Windows也有这个功能。

根据上面的步骤，打开组策略编辑器，依次点击计算机配置--Windows设置--安全设置--帐户策略--帐户锁定策略。

解释如下：

帐户锁定阈值：先说阈值，因为首先要设置阈值，其他两个才有意义，否则其他两个参数处于无效状态。阈值即连续输入错误密码的次数，设定为5，就是连续5次输入错误密码后，帐户锁定。

帐户锁定时间：设定帐户锁定阈值后，锁定时间参数生效，默认30分钟，建议改为0，即管理员解锁前，帐户永久锁定。

重置帐户锁定计数器：默认值30分钟，可以保留，不用管。

也有一个简单的办法可以查看帐户锁定的设置情况，运行CMD，输入net accounts

帐户的登录：

药厂实验室经常会有多人共用一台电脑，打开电脑时就会发现登录界面罗列着好多的用户

这样会产生三个问题，①用户太多了，自己的帐户不太好找，②用户名都摆在桌面上，你的帐户信息已经暴露了一半，③用户需要在每台电脑上维护自己的帐户和密码信息，太多了就容易忘。

怎么解决？两个办法，①使用Windows经典登录方式，不要使用快捷登录，②有条件的话，使用Windows域来管理用户。

还是打开组策略：

依次点击计算机配置--Windows设置--安全设置--本地策略--安全选项，找到右侧的交互式登录：登录时不显示用户名，双击改为已启用。

再登录时，就不会显示所有的用户列表，而只是一个登录框了。

Windows域解决多人多机的密码问题，域管理有点复杂，有空再写。以上就是Windows账户策略的设置，希望能有所帮助。