中,所述添加账户策略为所述局域网中的控制终端所提供;
[0047] 步骤103、在所述用户终端对应的添加账户控制策略为禁止时,向针对所述用于添 加账户的函数的调用操作返回失败信息,以使所述调用操作失败。
[0048] 本发明实施例可以应用于企业网、政府网、校园网等局域网中;在上述局域网中, 用户终端指安装有操作系统的终端设备,例如台式电脑,笔记本电脑等,该终端设备可以有 线方式连接局域网络,也可以无线方式连接局域网络。所述控制终端可用于提供添加账户 控制策略,例如可以设置禁止/允许哪些用户终端执行添加账户的操作等,并且指定系统管 理员对账户的添加、修改等操作进行统一管理,从而可以防止用户终端随意创建操作系统 的用户账户,导致账户不易管理甚至信息泄露等问题。
[0049] 在本发明的一种应用示例中,可以根据企业内各部门的工作性质制定对应的添加 账户控制策略。例如,由于研发部门的工作人员经常接触到企业内部的核心技术数据,为了 防止公司的核心技术外泄,可以设置研发部门的用户终端对应的添加账户控制策略为禁 止。而行政部门的工作人员通常不接触企业内部的核心技术,因此,可以设置行政部门的用 户终端的添加账户控制策略为允许。
[0050] 在本发明的另一种应用示例中,还可以通过控制终端周期性地收集来自局域网内 各用户终端的安全扫描结果,通过对各用户终端的安全扫描结果进行分析,确定各用户终 端的安全级别,对于安全级别较高的用户终端可以设置对应的添加账户控制策略为允许, 而对于安全级别较低的用户终端设置对应的添加账户控制策略为禁止。通过周期性的收集 来自局域网内各用户终端的安全扫描结果,在用户终端的安全级别发生变化时,可以对添 加账户控制策略进行相应的更新。
[0051] 可以理解,上述制定添加账户控制策略的方式仅作为本发明的应用示例,在实际 应用中,本领域技术人员可以根据实际需要灵活制定添加账户控制策略。例如,可以制定更 加详细的添加账户控制策略,比如指定研发部门中哪些用户终端可以执行添加账户操作, 哪些用户终端禁止执行添加账户操作,以及可以根据添加的账户属性制定相应的添加账户 控制策略等等。
[0052] 其中,上述用户终端和上述控制终端之间可以通过标准协议或者私有协议进行通 信,其中,私有协议具有封闭性和安全性高的优点;可以理解,本发明实施例对于用户终端 和控制终端之间的具体通信方式不加以限制。
[0053]在实际应用中,控制终端的用户可以是网络管理员等具有一定的网络安全知识的 高级用户,因此,控制终端的用户可以根据局域网的当前安全需求和实际情况,灵活地制定 相应的添加账户控制策略,以提高局域网内的信息安全。
[0054]可以理解,本发明对于上述添加账户控制策略的获取方式不加以限制,例如,可以 将添加账户控制策略存储在控制终端,用户终端通过局域网访问控制终端在线查询对应的 添加账户控制策略,或者,控制终端可以将上述添加账户控制策略下发至用户终端,以使用 户终端可以在本地进行查询。
[0055] 在本发明实施例中,在用户终端上可以设置有监测模块,用于监测用户终端上是 否有执行添加账户的操作。若监测到用户终端上有执行添加账户的操作,则可以对该添加 账户的操作进行拦截,并且从所述局域网内的控制终端读取所述用户终端对应的添加账户 控制策略,根据对应的添加账户控制策略,执行对应的控制操作。具体地,在所述用户终端 对应的添加账户控制策略为禁止时,终止执行所述添加账户的操作。具体地,本发明实施例 通过将用于添加账户的函数对应的地址重定向至预置函数对应的地址,以拦截针对所述用 于添加账户的函数的调用操作,在拦截到该调用操作,并且在所述用户终端对应的添加账 户控制策略为禁止时,向针对所述用于添加账户的函数的调用操作返回失败信息,以使所 述调用操作失败,进而使得该用户终端执行添加账户的操作失败。
[0056] 在本发明的一种可选实施例中,所述将用于添加账户的函数对应的地址重定向至 预置函数对应的地址,以拦截针对所述用于添加账户的函数的调用操作的步骤,具体可以 包括如下子步骤:
[0057] 子步骤S11、向用于安全检测的系统进程注入预置函数;
[0058] 子步骤S12、在所述用于安全检测的系统进程调用所述用于添加账户的函数时,将 用于添加账户的函数对应的地址重定向至所述预置函数对应的地址,以拦截所述用于安全 检测的系统进程针对所述用于添加账户的函数的调用操作。
[0059] 在实际应用中,用于安全检测的系统进程具体为lsass.exe(以下简称安全检测进 程),该进程作为一个系统进程,主要用于控制本地安全和登陆策略。例如,在用户终端的控 制面板中点击创建用户账户,则会通过RPC(Remote Procedure Call,远程程序调用)向安 全检测进程lsass.exe发送添加账户的账户信息,例如账户名称、账户类型等,由该安全检 测进程执行添加账户的操作。
[0060] 本发明实施例可以通过监测上述安全检测进程的执行过程对用户终端中的添加 账户操作进行监测,具体地,在监测到安全检测进程调用用于添加账户的APKApplication Programming Interface,应用程序编程接口)函数adduser时,可以确定所述用户终端正在 执行添加账户操作。
[0061] 在本发明实施例中,可以通过一个后台进程对用户终端中添加账户的事件进行监 测,具体地,可以通过多种方式实现该监测过程。例如,可以监听用户终端操作系统发出的 广播消息,通过对系统广播消息的过滤,获知添加账户的事件。也即,后台进程可以对每一 个广播的系统消息进行判断,如果消息类型为添加账户的事件,则可以对该事件进行拦截。 [0062]或者,也可以利用用户终端操作系统的API钩子函数,对添加账户的事件进行监 听。通常,一个API钩子至少包括两个模块:一个是钩子服务器(Hook Server),一般为EXE的 形式;一个是钩子驱动器(Hook Driver),一般为DLL的形式。钩子服务器用于向目标进程注 入钩子驱动器,使得钩子驱动器工作在目标进程的地址空间中,钩子驱动器用于实际的API 拦截工作。在本发明实施例中,利用向安全检测进程注入的钩子驱动器,将系统原本添加账 户的调用函数转向钩子函数(通常通过修改函数入口地址实现),这样钩子函数就能够获得 添加账户操作对应的账户标识等信息,完成对添加账户事件的监听。
[0063]可以理解,通过上述两种方式监测执行添加账户的操作仅作为本发明的一种应用 示例,在实际应用中,本发明对添加账户操作的监测方式不加以限制,既可以在应用层进行 监测,也可以在驱动层进行监测。
[0064]在本发明实施例中,一旦监测到安全检测进程调用adduser函数,并且在所述用户 终端对应的添加账户控制策略为禁止时,直接向调用adduser函数的安全检测进程返回失 败信息,以使所述安全检测进程调用添加账户的操作失败,进而使得所述用户终端中执行 添加账户的操作失败。具体地,可以向安全检测进程注入预置的钩子函数,在所述安全检测 进程调用adduser函数时,将实现adduser函数对应的地址重定向至所述预置函数对应的地 址,以拦截所述安全检测进程针对所述用于添加账户的函数的调用操作,在拦截到针对所 述用于添加账户的函数的调用操作,并且在用户终端对应的添加账户控制策略为禁止时, 可以直接向该调用操作返回失败信息,以使所述调用操作失败,进而使得添加账户的操作 失败。
[0065]在本发明的另一种可选实施例中,上述方法还可以包括:
[0066] 在所述用户终端对应的添加账户控制策略为允许时,放行所述拦截到的针对所述 用于添加账户的函数的调用操作,以使所述调用操作继续执行。
[0067] 在本发明的一种应用示例中,控制终端可以为每个用户终端制定对应的添加账户 控制策略,并通过企业局域网将添加账户控制策略下发到对应的用户终端。其中,添加账户 控制策略可以通过一张映射表来表示,在该映射表中可以包括用户终端的终端标识以及对 应添加账户控制策略的映射关系,参照表1,示出了本发明的一种添加账户控制策略对应的 映射表的具体示意。
[0068] 表 1
[0070] 在上述表1中,终端标识采用的是用户终端的MAC(Media Access Control,媒体访 问控制)地址,可以理解,在实际应用中,本发明对于终端标识不加以限制,例如还可以采用 用户终端的IP地址等