。
[0071] 在具体应用中,在向针对所述用于添加账户的函数的调用操作返回失败信息,以 使所述调用操作失败之后,还可以在显示界面显示提示信息,以告知用户当前的终端设备 禁止执行添加账户的操作。
[0072] 综上,本发明实施例通过将用于添加账户的函数对应的地址重定向至预置函数对 应的地址,以拦截到针对所述用于添加账户的函数的调用操作,并且在所述用户终端对应 的添加账户控制策略为禁止时,向针对所述用于添加账户的函数的调用操作返回失败信 息,以使所述调用操作失败。本发明实施例可以对添加账户的操作进行拦截,并且按照控制 终端提供的添加账户控制策略对用户终端中的添加账户操作进行控制,例如通过设置用户 终端对应的添加账户控制策略为禁止,可以使得该用户终端执行添加账户操作失败,从而 可以防止用户终端随意创建账户,导致局域网内账户不易管理,甚至涉密信息泄露的问题, 从而可以对局域网内的账户进行统一管理,并且提高局域网的信息安全。
[0073] 参照图2,示出了根据本发明一个实施例的一种基于局域网的账户控制方法的步 骤流程图,具体可以包括如下步骤:
[0074] 步骤201、将用于添加账户的函数对应的地址重定向至预置函数对应的地址,以拦 截针对所述用于添加账户的函数的调用操作;
[0075] 步骤202、在拦截到针对所述用于添加账户的函数的调用操作时,获取所在用户终 端对应的添加账户控制策略;其中,所述添加账户策略为所述局域网中的控制终端所提供;
[0076] 步骤203、在所述用户终端对应的添加账户控制策略为允许时,放行所述拦截到的 针对所述用于添加账户的函数的调用操作,以使所述调用操作继续执行;
[0077] 步骤204、保存添加账户的操作对应的添加账户记录;其中,所述添加账户记录中 包括如下信息中的至少一种:所在用户终端对应的终端标识、新添加的账户对应的账户标 识;
[0078] 步骤205、将所述添加账户记录上传至所述控制终端。
[0079]相对于图1所示实施例,本实施例可以利用HOOK(钩子)技术,通过对安全检测进程 注入预置的钩子函数,拦截针对用于添加账户的函数的调用操作,对添加账户操作进行合 法性检验,在对应的添加账户控制策略为禁止时,终止该添加账户操作;在对应的添加账户 控制策略为允许时,允许继续执行所述添加账户操作,具体地,放行拦截到的针对用于添加 账户的函数(adduser)的调用操作,以使其继续执行添加账户的操作,以及获取添加账户操 作对应的账户标识等信息,在账户添加成功之后,保存上述记录信息并上传至控制终端,以 使控制终端可以对用户终端的添加账户操作进行监控和审计。
[0080] 在本发明实施例中,对于所述添加账户记录包括的信息不加以限制,除了上述列 举的示例外,还可以记录添加的账户名称、账户密码、账户类型、账户所在组的信息等。
[0081] 本发明实施例在执行添加账户操作的过程中,可以记录该添加账户操作对应的添 加账户记录,并将该添加账户记录上传至局域网内的控制终端,以使局域网的管理员可以 通过控制终端查询用户终端的添加账户记录信息,由于添加账户记录中可以包括执行添加 账户操作的用户终端对应的终端标识、新添加的账户对应的账户标识,因此,通过该添加账 户记录可以得知企业内部哪台用户终端新添加了哪些账户,则可以根据用户终端的终端标 识定位到该用户终端,以对该用户终端进行管控,例如可以对该新添加的账户设置较小的 权限,以防止该新添加的账户对重要文件进行访问,造成信息泄露的问题;并且将该用户终 端对应的添加账户控制策略更新为禁止,以防止该用户终端建立更多的账户;此外,还可以 通过用户终端的信息追踪到责任人的信息。
[0082] 参照图3,示出了根据本发明一个实施例的一种基于局域网的账户控制方法的步 骤流程图,具体可以包括如下步骤:
[0083] 步骤301、将用于添加账户的函数对应的地址重定向至预置函数对应的地址,以拦 截针对所述用于添加账户的函数的调用操作;
[0084] 步骤302、在拦截到针对所述用于添加账户的函数的调用操作时,获取所在用户终 端对应的添加账户控制策略;其中,所述添加账户策略为所述局域网中的控制终端所提供;
[0085] 步骤303、在所述用户终端对应的添加账户控制策略为允许时,放行所述拦截到的 针对所述用于添加账户的函数的调用操作,以使所述调用操作继续执行;
[0086] 步骤304、在添加账户的操作执行完成之后,记录新添加的账户对应的操作行为信 息;其中,所述操作行为信息中包括如下信息中的至少一种:所述新添加的账户对应的账户 标识、所述新添加的账户对应的文件操作信息;
[0087]步骤305、将所述操作行为信息上传至所述控制终端。
[0088] 本发明实施例中,对于记录新添加的账户对应的操作行为信息不加以限制,除了 可以包括上述新添加的账户对应的账户标识、新添加的账户对应的文件操作信息之外,还 可以包括新添加的账户对应的打印操作信息、网页浏览信息等等。
[0089] 相对于图1所示实施例,本实施例可以将新添加的账户对应的操作行为信息进行 记录,并且上报至控制终端,以使控制终端可以根据该操作行为制定更加合理的添加账户 控制策略。具体地,控制终端可以根据接收到的来自局域网内用户终端的新添加的账户对 应的操作行为信息,对用户终端进行行为分析,在发现用户终端存在可疑行为时,例如,通 过该操作行为得知企业内某台用户终端通过新添加的账户频繁下载企业内的重要文件,则 可以对该用户终端的权限进行控制,例如删除该新添加的账户,并且将该用户终端的终端 标识对应的添加账户控制策略更新为禁止,以防止重要文件的外泄,提高局域网的信息安 全。
[0090] 参照图4,示出了根据本发明一个实施例的一种基于局域网的账户控制装置的结 构框图,具体可以包括如下模块:
[0091] 操作拦截模块401,用于将用于添加账户的函数对应的地址重定向至预置函数对 应的地址,以拦截针对所述用于添加账户的函数的调用操作;
[0092]策略获取模块402,用于在拦截到针对所述用于添加账户的函数的调用操作时,获 取所在用户终端对应的添加账户控制策略;其中,所述添加账户策略为所述局域网中的控 制终端所提供;及
[0093]操作终止模块403,用于在所述用户终端对应的添加账户控制策略为禁止时,向针 对所述用于添加账户的函数的调用操作返回失败信息,以使所述调用操作失败。
[0094]在本发明的一种可选实施例中,所述操作拦截模块401,具体可以包括:
[0095] 函数注入子模块,用于向用于安全检测的系统进程注入预置函数;
[0096] 重定向子模块,用于在所述用于安全检测的系统进程调用所述用于添加账户的函 数时,将用于添加账户的函数对应的地址重定向至所述预置函数对应的地址,以拦截所述 用于安全检测的系统进程针对所述用于添加账户的函数的调用操作。
[0097] 在本发明的另一种可选实施例中,所述装置还可以包括:
[0098] 操作放行模块,用于在所述用户终端对应的添加账户控制策略为允许时,放行所 述拦截到的针对所述用于添加账户的函数的调用操作,以使所述调用操作继续执行。
[0099] 在本发明的又一种可选实施例中,所述装置还可以包括:
[0100] 记录保存模块,用于保存添加账户的操作对应的添加账户记录;其中,所述添加账 户记录中包括如下信息中的至少一种:所在用户终端对应的终端标识、新添加的账户对应 的账户标识;
[0101] 第一上传模块,用于将所述添加账户记录上传至所述控制终端。
[0102] 在本发明的再一种可选实施例中,所述装置还可以包括:
[0103] 行为记录模块,用于在添加账户的操作执行完成之后,记录新添加的账户对应的 操作行为信息;其中,所述操作行为信息中包括如下信息中的至少一种:所述新添加的账户 对应的账户标识、所述新添加的账户对应的文件操作信息;
[0104] 第二上传模块,用于将所述操作行为信息上传至所述控制终端。
[0105] 对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关 之处参见方法实施例的部分说明即可。
[0106]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。 各种通用系统也可以与基于在此的示教一