3.8.4.1.管理员权限分离

根据需求，可以建立不同权限的管理员帐号。打开[系统管理/账号管理]页面，点击<新增>创建管理员账号，如下图。

在角色选项可以根据需求分配不同的角色。

系统管理员：只能在平台首页查看、在系统管理页面操作。

安全管理员：不能对平台微隔离模块、联动管理、报表订阅、账号管理、升级、授权、分支管控、系统设置模块进行操作，其他权限不限。

审计管理员：只能查看平台上的内容，不能在平台上进行修改、增加、删除操作。

不同管理员的操作权限不同，从而实现管理端账号的三权分立。

3.8.4.2.密码安全策略

登录管理端的安全策略可以根据用户安装需求进行设置，登录EDR控制台，在[系统管理/账号管理]页面，点击<设置>，打开[密码安全策略]，如下图。

密码安全策略共有4种配置：

密码使用天数设置：可以开启密码有效期功能(默认关闭)，超期(默认90天，取证范围：[1-365])后登陆时强制用户修改，不修改退出当前登陆。

图像验证码设置：可以开启图形验证码功能（默认开启），连续输入错误超过n次(默认0次，取证范围：[0-5])时，才显示验证码。

登录锁定设置：登陆连续失败n次(默认5次，取值范围：[0-4])锁定m分钟(默认1分钟，取值范围：[1-30])。

登录退出设置：登陆超过n分钟(默认10分钟，取值范围：[1-120])未操作退出当前登陆。

3.8.4.3.管理端账号登录认证

登录管理端提供了三种认证方式，账号密码认证登录、账号密码+USB-KEY认证登录和账号密码+动态口令登录。在[系统管理/账号管理]页面下，点击<新增>创建管理员账号，如下图。

账号密码+USB-KEY认证登录

账号密码+USB-KEY认证登录需要先进行KEY认证通过后再进行的账号密码认证，USB-KEY认证的操作步骤如下：

1.生成管理端的根证书。在[系统管理/账号管理]页面下，点击<设置>，打开证书管理页面输入根证书信息后，点击<确定>即可生成，如下图。

2.生成USB-KEY数字证书。以管理员身份打开IE11及以上浏览器登录管理端，新增管理员账号，生成USB-KEY证书。在生成USB-KEY页面输入证书的信息，同时插入USB-KEY并按照页面提示安装控件，输入证书认证时需要输入的校验ekey口令，点击<开始生成>生成USB-KEY证书，如下图。

•   说明：

生成USB-KEY只能使用IE11及以上浏览器，同时需要以管理员身份运行IE浏览器。

3.登录控制台。生成USB-KEY证书后，插到电脑USB接口，打开浏览器登录EDR管理端，输入对应的账号密码验证码后点击登录，此时浏览器就会弹出需要输入ekey口令的提示框，如下图，输入KEY口令验证成功后即可登录控制台。

•   说明：

证书认证不支持火狐、Edge、safari浏览器。

账号密码+动态口令登录

账号密码+动态口令登录指登录EDR管理端使用用户名密码和手机动态令牌双因素认证，配置如下：

打开[系统管理/帐号管理]，新增或编辑控制台账号，登录方式选择“账号密码认证登录+动态口令认证”，如下图。

点击<去生成动态口令>，按照操作方法添加认证信息，如下图。

重新登录EDR控制台，通过用户名密码和手机动态令牌通过认证，如下图。

3.8.4.4.IP地址限制登录

管理端的账号支持只允许在授权的电脑登录，打开新增管理员账号页面，启用[允许登录的IP地址]，设置允许登录EDR管理端的电脑IP地址，如下图。