帮助中心
快速开始
- 概述
- 系统要求
- 最低权限要求
- 默认端口配置
- 安装 DataSecurity Plus
- 卸载 DataSecurity Plus
- 启动 DataSecurity Plus
- 启动 DataSecurity Plus
- 配置您的解决方案
- 许可详情
- 应用许可证
文件审计
- 关于文件审计
设置文件审计
仪表盘
报告
警报
配置
存储配置
文件分析
数据风险评估
终端 DLP
- 关于终端 DLP
设置终端 DLP
报告
警报
防护策略
配置
云保护
- 关于云保护
- 网关服务器安装步骤
- 终端中的网关配置
- 网关群集配置
- 网关服务器管理
- 证书颁发机构配置
- 双向 SSL 配置
- 管理证书信任存储
- 威胁分析数据库
- 管理禁止应用
- 管理授权应用
- 重新生成网关服务器访问密钥
- 更新网关服务器
- 网关服务器故障转移
- 负载均衡器配置
- 云应用发现
设置云保护
仪表盘
报告
控制策略
存储配置
管理设置
常规设置
版本说明
2026
2025
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
故障排除
指南
- 代理文档
- 如何迁移/移动 DataSecurity Plus
- 如何应用 SSL 证书
- 如何自动备份 DataSecurity Plus 数据库
- 如何在 DataSecurity Plus 中设置警报
- 如何保护您的 DataSecurity Plus 安装
DataSecurity Plus 安装安全指南
描述
DataSecurity Plus 安装目录包含使其能够启动和停止的关键文件,例如包含数据库配置信息的文件和许可文件。安装目录应当被保护以防止篡改,因这可能带来安全风险,如数据窃取、敏感数据泄露和操作风险,并可能导致产品功能失效和无法使用。默认情况下,DataSecurity Plus 将被存储在 C:\Program Files\ManageEngine\DataSecurity Plus 文件夹中,该文件夹授予“Authenticated Users”组中的非管理员用户完全控制权限,允许对 DataSecurity Plus 安装目录中的文件和文件夹进行内容修改。为防止此情况发生,请根据您的 DataSecurity Plus 安装版本实施以下措施。
注意:移除 Authenticated Users 从访问控制列表(ACL)中无效,因为这将导致他们无法启动 DataSecurity Plus 作为服务或应用程序。
解决方案
为防止未经授权访问 DataSecurity 安装目录,请根据构建版本执行以下步骤。
1. 对于新安装的 DataSecurity Plus,版本 6126 及以上
ⅰ 对于版本 6126 及以上的新安装,只为以下用户和组提供安装目录访问权限,以确保文件安全和完整性:
- 本地系统帐户
- 用于安装 DataSecurity Plus 的用户帐户
- 管理员组
- 域管理员组
ⅱ 移除以下组和用户的权限:
- CREATOR OWNER
- BUILTINUSERS
- Authenticated users
- ALL APPLICATION PACKAGES
- ALL RESTRICTED APPLICATION PACKAGES
ⅲ 默认情况下,DataSecurity Plus 文件夹的继承权限将被禁用。
注意:如果产品作为服务安装,请在 ManageEngine DataSecurity Plus 中右键单击 Windows Services 应用程序。点击 属性 > 登录 并确保配置的帐户已为安装目录分配完全控制权限。
2. 对于低于版本 6126 的现有 DataSecurity Plus 安装
注意:以下说明仅适用于在版本 6126 之前安装 DataSecurity Plus 并通过应用服务包升级到最新版本的用户。
可通过两种方式防止未经授权用户访问 DataSecurity Plus 安装目录:
I. 运行 setAppPermission.bat 文件
通过此方法,访问安装目录将自动限制为必要的帐户。操作有两种方式:
选项 1:升级到版本 6126 或更高。在 <安装目录>/bin 文件夹中(默认路径为 C:\Program Files\ManageEngine\DataSecurity Plus\bin) 使用提升的命令提示符运行 setAppPermission.bat 文件。
选项 2:从 此链接下载 ZIP 文件。解压后移动到 setAppPermission.bat 相应文件夹。运行 <安装目录>/bin (此处应有文件名,原文缺失) setAppPermission.bat 文件。
II. 手动修改所需权限
若要手动修改 DataSecurity Plus 安装目录中不必要的组和用户帐户的访问权限,请按以下步骤操作:
- 禁用安装目录的权限继承(默认路径为 C:\Program Files\ManageEngine\DataSecurity Plus)。请参阅 附录 以获取 分步 指导。
- 移除所有不必要组的访问权限。请参阅 附录 以获取 分步 指导。
- 为本地系统帐户和管理员组提供对产品安装目录的完全控制权限。请参阅 附录 以获取 分步 指导。
- 为域管理员组提供对产品安装目录的修改权限。请参阅 附录 以获取 分步 指导。
- 为能够启动或停止产品的用户分配完全控制权限。请参阅 附录 以获取 分步 指导。
- 如果产品作为服务安装,请右键单击 ManageEngine DataSecurity Plus 中右键单击 Windows Services 应用程序。点击 属性 > 登录 并确保配置的帐户已为安装目录分配完全控制权限。
- 微软建议软件安装在 Program Files 目录下。根据您的具体需求或组织政策,您可以选择不同的安装位置。
附录
Ⅰ 禁用继承的步骤
- 右键单击该文件夹并选择 属性.
- 转到 安全 选项卡并点击 高级.
- 点击 禁用继承.
- 点击 应用 然后 确定.
Ⅱ 从 ACL 中移除不必要帐户的步骤
- 右键单击 文件夹 并选择 属性.
- 转到 安全 选项卡并点击 编辑.
- 选择 Authenticated Users 组并点击 移除.
- 点击 应用 然后 确定.
Ⅲ 分配完全控制或修改权限给用户
- 右键单击 文件夹 并选择 属性.
- 转到 安全 选项卡并点击 编辑.
- 点击 添加.
- 输入用户或组的名称并点击 确定.
- 在 用户权限 部分,勾选 允许 列下的 完全控制 或 修改 权限框。
- 点击 应用 然后 确定.