权限和特权指南

一旦授予域管理员凭据，DataSecurity Plus 会立即启动所有授权模块中的检测、审计、分析和响应活动。它还允许软件在控制台添加目标机器时自动安装 DataSecurity Plus 代理。

但是，如果您不想提供域管理员凭据，请按照本指南中的步骤设置一个最低权限的服务帐户。

注意：以下列出的最低权限会限制 DataSecurity Plus 不能自动在目标计算机上安装代理。有关如何手动安装、更新或卸载代理的信息，请参阅 代理文档.

第一步：为 DataSecurity Plus 创建新用户

使用域管理员权限登录您的域控制器。打开 Active Directory 用户和计算机 > 右键点击您的域 > 新建 > 用户 > 将用户命名为 DataSecurity Plus。

第二步：授予用户所有模块通用的权限

以下是所有版本和所有模块的 DataSecurity Plus 所需的权限。应先授予这些权限，然后再授予每个模块特定的权限。

• 授予用户产品安装文件夹的完全控制权限。

  DataSecurity Plus 需要 完全控制 产品安装文件夹，以便写入数据库。

  • 使用域管理员权限登录安装了 DataSecurity Plus 的计算机。
  • 找到产品安装文件夹，右键点击 属性 > 安全 > 编辑；添加 DataSecurity Plus 用户，并赋予 完全控制.

• 授予用户 DataSecurity Plus 存档文件夹的完全控制权限

  DataSecurity Plus 需要 完全控制 完全控制权限，用于存储和从数据库检索归档数据。

  要查找存档文件夹位置，请打开 DataSecurity Plus > 管理 > 配置 > 存档配置.

  使用域管理员权限登录目标计算机。找到文件夹，右键点击 属性 > 安全 > 编辑；添加 DataSecurity Plus 用户，并赋予 完全控制 权限。

• 授予用户对所有 DataSecurity Plus 计划报告文件夹的完全控制权限

  DataSecurity Plus 需要 完全控制 用于在指定位置保存计划报告的权限。

  • 要查找计划报告文件夹的位置，请打开 DataSecurity Plus > 管理 > 计划报告 > 修改计划报告。您可以在 执行后.
  • 下看到位置。 属性 > 安全 > 编辑使用域管理员权限登录目标计算机。找到文件夹，右键点击，进入 完全控制 权限。

  ；添加 DataSecurity Plus 用户，并赋予

• 在所有计划报告目标文件夹重复这些步骤。

  授予用户对 DataSecurity Plus 警报脚本文件夹的读取和执行权限

  • 产品需要在警报脚本文件夹上具有读取和执行权限，以执行预定义脚本。 要查找警报脚本文件夹的位置，打开 DataSecurity Plus > 配置 > 警报 > 修改警报配置文件
  • 。您可以在操作下看到位置。 属性 > 安全 > 编辑使用域管理员权限登录目标计算机。找到文件夹，右键点击，转到 ，添加 DataSecurity Plus 用户，并赋予 权限。

• 读取和执行

  • 授予用户对配置了移动/删除响应的文件的修改权限 使用域管理员权限登录 目标计算机。找到配置了移动/删除响应的文件。
  • 右键点击该文件，转到 属性 > 安全 > 编辑，添加 DataSecurity Plus 用户，并赋予 修改 权限。
  • 对于所有配置了指定响应的文件，重复上述步骤。

第三步：授予用户各个模块所需的权限

为了正常运行，每个模块需要为 DataSecurity Plus 用户分配一些特定权限。按照您所授权的模块下的步骤分配这些权限。

1. 文件审计

下面的步骤详述文件审计模块所需的最低权限。

• 创建一个新组

  要创建新组，请执行以下步骤：

  • 使用域管理员权限登录您的域控制器并打开 服务器管理器.
  • 点击 工具 （位于右上角）。
  • 转到 Active Directory 用户和计算机.
  • 右键点击您的域 > 新建 > 组.
  • 设置 组名 为 "DataSecurity Plus 权限组"，然后点击 确定.
  • 将所有被审计的计算机添加到 DataSecurity Plus 权限组。
  • 右键点击 DataSecurity Plus 权限组 并选择 属性.
  • 选择 成员 并点击 添加 ，添加您想要审计的域控制器、Windows 文件服务器和工作站。
  • 点击 确定.

• 创建新的域级 GPO 并链接到所有被审计的计算机

  配置所有受监控计算机权限的最简单方法是创建一个域级 GPO，而不是逐台计算机配置权限。

  要创建新的域级 GPO，请执行以下步骤：

  • 使用域管理员权限登录您的域控制器并打开 服务器管理器.
  • 点击 工具 （位于右上角）。
  • 选择 打开组策略管理 以显示目标域中的所有 GPO。
  • 在组策略管理窗口的左侧面板，展开 域 文件夹并选择您的域。右键点击并选择 在此域中创建 GPO，并链接到此处...
  • 将新 GPO 命名为 "DataSecurity Plus 权限 GPO" 并点击 确定.

• 移除经过身份验证的用户组的应用组策略权限

  要移除经过身份验证的用户组的应用组策略权限，请执行以下步骤：

  • 在组策略管理窗口，展开 域 文件夹，选择您的域，然后双击 DataSecurity Plus 权限 GPO.
  • 您将看到一个 组策略管理控制台 弹窗，提示“您已选择一个组策略对象（GPO）的链接。除链接属性更改外，您在此处所做的更改将全局应用于该 GPO，并影响所有其他链接此 GPO 的位置。”点击 确定.
  • 在 DataSecurity Plus 权限 GPO 窗口的右侧，点击 委派 选项卡。
  • 在列出的组和用户下，选择 经过身份验证的用户 并点击 高级 在窗口的右下角。
  • 在 DataSecurity Plus 权限组安全设置窗口中，选择 经过身份验证的用户，并在 经过身份验证的用户权限下，取消选中所有 允许 权限。
  • 选择 应用 并点击 确定.

• 将 DataSecurity Plus 权限组添加到 DataSecurity Plus 权限 GPO 的安全筛选设置中

  要将 DataSecurity Plus 权限组添加到安全筛选设置，请按照以下步骤操作：

  • 在组策略管理窗口，展开 域 文件夹，选择您的域，然后双击 DataSecurity Plus 权限 GPO.
  • 您将看到一个 组策略管理控制台 弹出窗口提示：“您已选择链接到组策略对象 (GPO)。除了链接属性的更改外，您在此处所做的更改对整个 GPO 全局生效，并将影响此 GPO 关联的所有其他位置。”点击 确定.
  • 在 DataSecurity Plus 权限 GPO 窗口的右侧窗格中，选择 委派 选项卡。
  • 点击 高级 并点击 添加 以选择用户、计算机、服务帐户或组。
  • 在 输入要选择的对象名称，输入“DataSecurity Plus 权限组”，然后点击 检查名称.
  • 点击 确定.

• 使用户成为域管理员组成员

  要使用户成为域管理员组成员，请按照以下步骤操作：

  • 展开 域 组策略管理窗口中的文件夹，选择 DataSecurity Plus 权限 GPO 目标域下的
  • 右键点击 DataSecurity Plus 权限 GPO > 编辑.
  • 在 组策略管理编辑器 窗口中，选择 计算机配置 > 首选项 > 控制面板设置.
  • 选择并右键点击 本地用户和组.
  • 转到 新建 > 本地组.
  • 在 新建本地组属性 向导中，点击 更新 在 操作 选项卡。选择 域管理员（内置） 组下的 组名.
  • 在“成员”选项卡中，点击 添加。在DataSecurity Plus“成员名称” 字段旁输入“ ”，然后点击 确定.

• 配置 Windows 故障转移群集的 DCOM 和 WMI 权限

  注意：DCOM 和 WMI 权限仅适用于 Windows 故障转移群集审计。

  启用 DCOM 权限：

  • 在搜索栏（位于 Windows 图标旁）输入“组件服务”。
  • 点击 计算机 > 我的电脑 并右键点击选择 属性.
  • 选择 COM 安全性 并点击 编辑限制 在 启动和激活权限.
  • 在 安全限制中 启动和激活权限窗口，点击 添加 > 在 输入对象名称 以选择（示例），然后点击 确定.
  • 设置 允许 DataSecurity Plus 用户的所有权限。

  启用 WMI 权限：

  • 转到 启动 并输入命令“wmimgmt.msc."
  • 右键点击 WMI 控制（本地） （在左上角）。
  • 选择 属性 > 安全.
  • 展开 Root.
  • 选择 CIMV2 并点击 安全 在 WMI 控制（本地）属性的右下角。
  • 点击 添加 > 在 输入要选择的对象名称（示例），然后点击 确定.
  • 设置 允许 为 DataSecurity Plus 用户设置所有权限，然后点击 应用 > 确定.

2. 文件分析

本节详细说明 DataSecurity Plus 文件分析模块所需的最低权限。

• Windows 文件服务器和工作组服务器

  确保本地系统账户对所有要监视的文件拥有 读取 权限。

  默认情况下， 本地系统 账户拥有 完全控制 权限。但对于文件分析，仅需 读取 读取 本地系统 权限。如果您想更改默认权限，请确保 账户 读取 对文件服务器中所有要监视的文件和文件夹拥有

• 读取

  权限。

SMB 文件服务器

共享中的所有文件都应为配置的域用户账户分配读取权限。

• 3. 风险分析.
• DataSecurity Plus 需要最低读取权限，以便在以下环境中定位敏感数据（如个人身份信息、电子健康信息和信用卡详情）：.

Windows 文件服务器:

Microsoft SQL 数据库服务器 按照以下步骤为 Windows 文件服务器上的用户提供读取权限： 有两种方式授予用户

• 所需共享的读取权限：

  • 将用户添加到本地管理员组。
  • 使用域管理员权限登录任何计算机。打开 Microsoft 管理控制台（MMC ）并转到.
  • 点击 文件 > 添加/删除管理单元.
  • 本地用户和组 > 添加 > 另一台计算机 选择目标计算机，然后点击.
  • 完成 本地用户和组.
  • 选择 打开.
  • 右键点击 组 并点击 管理员.
  • 属性 > 添加 DataSecurity Plus 用户

• 对每台执行风险分析的 Windows 文件服务器或集群重复上述步骤。

  • 将用户添加到本地管理员组。
  • 完成 打开 Microsoft 管理控制台（ 为所有扫描的共享授予用户共享和 NTFS 的读取权限。 ）并转到.
  • 点击 并转到
  • 共享文件夹 > 添加 > 另一台计算机。
  • 点击 选择目标计算机，然后点击选择目标计算机。
  • 。这将打开目标计算机上的共享列表，前提是用户拥有必要的权限。 属性 > 安全 > 编辑.
  • 右键点击所需共享，点击
  • 点击 添加您要授予读取权限的 DataSecurity Plus 用户。 输入
  • 以为共享和 NTFS 提供读取权限。

对每个扫描的共享重复上述步骤。

• 按照以下步骤为 Microsoft SQL 数据库服务器的用户提供读取权限：.

  • 为监视使用的 SQL 帐户授予以下角色
  • 使用系统管理员权限登录任何计算机。 打开SQL Server Management Studio 。如果未安装，可在.
  • 点击 此处.
  • 下载。 属性.
  • 点击 登录名 并选择 右键点击相应用户，选择服务器角色
  • 点击 此处.
  • 下载。 属性.
  • 点击 public。默认情况下，public 角色应对数据库具有最低访问和读取权限。

用户映射

。对于所有数据库，应为用户分配 public 和 db_datareader 角色。

• 4. 终端 DLP DataSecurity Plus 需要所有要监控终端的本地管理员凭据。将 DataSecurity Plus 用户添加到本地管理员组的方法：使用域管理员权限登录任何计算机。打开 MMC 控制台 > 文件 > 添加/删除管理单元.
• 。选择 使用域管理员权限登录，并打开 本地用户和组使用域管理员权限登录任何计算机。打开 打开，右键单击 Administrators > Properties > 添加 DataSecurity Plus 用户.
• 对每个需要审计的端点重复以上步骤。

注意：如果您想监控大量端点，将 DataSecurity Plus 用户设置为每个端点的本地管理员是一项繁琐的任务。为简化流程，请向 DataSecurity Plus 用户提供域管理员凭据。