计算机化系统Windows权限要求及设置？

制药GMP行业的知乎

负责、专业、有温度的问答社区

药答人网站有人计算机化系统设置问题，可能对大家有帮助，现摘录如下：

提问：

对于计算机化系统，应用软件不是全屏的或者全屏能够随意退出/切换出的，Windows应当进行权限管理，权限管理要求如下：

注释：

全屏的或者全屏能够随意退出/切换出的：一些软件能够全屏显示，而且画面是锁定的，普通用户不能退出或者切换出软件画面。这样就不需要进行太多Windows管理了，只需要Windows管理员一个就行了，其他的不用配置。例如DCS、SCADA、某些基于西门子的自控系统都是全屏的，而且全屏能够锁定的，

1. 密码复杂度、长度、有效期、错误尝试次数

2. 时间、时区（我想很多人都忽略了这一条）锁定

3. 相关文件的权限，尤其是删除、编辑

4. 用户管理

请问：

1. 还有哪些我没有提到或者不正确的？

2. 假如文件夹权限没有设置，能不能接受？会不会被提缺陷项？因为一些软件设置了文件夹权限，会不能正常使用。

回答：

John W Hoo回答如下：

我们做第三方审计根据以下几条抽审操作系统权限：

每位用户在操作系统的ID的唯一的。

已根据公司密码策略设置密码。

已配置访问级别，且在标准操作规程中详细规定。

用户权限已按照其职责进行分配。

只有管理员可以访问操作系统的配置（包括安全设置） 用户不能修改服务器或者工作站的日期/时间。

具备OS管理员权限的用户独立于被评估系统的商业流程。 已定义自动登出OS 已在服务器或者工作站安装激活的杀毒软件或其它措施。

关于第二个问题： 文件夹权限必须设置，除了system owner或admin，其他只有只读权限，注意如果只是文件夹的隐藏是不够的，因为还是能删。 另外桌面上最好不要除了应用软件之外的软件，如Excel等等，如果桌面有很多软件，会给审计官的印象是你是不是在编辑什么数据，这样的话其实是在引诱审计换往下查。

另一位答主回复：

1、对于只是用于观察的电脑，可以撤走键盘，防止误操作。但是对于仓储系统等操作系统来说，现在都要求将快捷键锁定，防止随意切出，进入桌面，关闭电脑，导致设备停止运行。

2、对于时间、时区的锁定，只有系统管理员有权限修改，因为还需要做定期的时钟确认，防止时间的漂移。

3、对于第二个问题，首先要看文件夹存储的数据的重要程度，需要经过评估，对于存储重要数据的文件夹，文件夹的删除和修改也是需要控制的。不一定是要对文件夹设置权限，只要达到了不能随意删除和修改的目的即可。

润砾成珠回复：

如果你是准备国外的审核的话，建议你还是多看看GAMP5 。就像里面提到的比较基础的东西，计算机化系统至少包括操作系统和工作站，当然还有巴拉巴拉软件硬件，感兴趣自己可以了解。 对于权限的设置，您这个用户管理的范围有些大，不知道指的是用户的权限设定还是系统日志这些 对于您最后的问题，我个人觉得，文件夹权限的设置有可能影响软件的使用，如果您了解或者可以说服检查员相信你没有删除/移动/修改文件夹内的关键数据，那自然可以。

黑皮男孩 回复：

首先，不太清楚你所谓的应用软件不能全屏或全屏能够随意退出应该进行Windows权限设置这种说法来源是何处，Windows系统的权限设置和应用的权限设置是两个维度的事情，详细可以参考公众号上这篇文章：液相气相网络版操作系统权限及应用层权限如何设置。理论上无论什么样的系统，逻辑安全都需要考虑两个方面，应用层面和系统层面，只是目前大部分验证过程中的测试是关注于应用层面的逻辑安全，系统层面的逻辑安全更多的是通过基础架构的安装和配置实现的，很少会放到用户需求中。

现在推荐的局域网的域控技术，这样不需要每台电脑都去配置，可以通过组策略实现，问题第一点中提到的密码复杂度，长度，有效期，错误尝试次数基本上可以认为是涵盖了大部分的组策略配置要求，基本上可以接受了。你提到的时间和时区的观点非常好，对时间的修改的控制，包括文件恶化的读写权限貌似也可以一并放在组策略里。最后的设置的结果就是你以你的域账号登录系统，发现你什么Windows的配置都不能修改。

既然可以给操作系统配置组策略，那么自然也可以给应用配置组策略，至少我的理解是这样的，你可以在组策略中为应用（或特定计算机）配置和个人不同的组策略，这样应用（或特定计算机）就可以去读写相应的文件夹了，当然，这也要看应用是否支持，有的应用甚至可以将应用中的不同权限和组策略进行绑定。

当然，上面的说法，尤其是第二段，要看软件是否支持，如果软件不支持，也不是说就一定不能用，只是你要对其中的风险有所理解，并建立相应的控制。

我查过如何去配置组策略，遗憾的是当时没有形成文字，有机会我再来总结一下，自己也不是IT专业的人士，所以如何去配置组策略希望有其他的答主可以回答一下。