×
  • Rate this page:
  • WRITE TO US
  • Please enter a valid the email id
  • By clicking 'SEND', you agree to processing of personal data according to the Privacy Policy.

权限指南

授予Domain Admin凭据后,DataSecurity Plus会立即开始在许可的模块中进行检测,审核,分析和响应活动。 如果您不想提供Domain Admin凭据,请按照本指南中的步骤设置所需权限最少的服务帐户。

1. 每个模块所需的特权

以下步骤列出了DataSecurity Plus的每个版本和每个模块所需的特权。 在提供每个模块的特定权限之前,应首先授予这些权限。

  • 向用户授予对产品安装文件夹的完全控制权。

    DataSecurity Plus需要完全控制产品安装文件夹才能写入数据库。

    • 使用Domain Admin特权登录到安装了DataSecurity Plus的计算机。
    • 找到产品安装文件夹; 右键点击属性 > 安全 > 编辑; 添加 DataSecurity Plus用户r,并提供完全控制权。
  • 授予用户对DataSecurity Plus的存档文件夹的完全控制权。

    DataSecurity Plus要求完全控制 在存档文件夹上,用于存储和检索数据库中的存档数据。

    要查找存档文件夹的位置,请打开 DataSecurity Plus > 文件审核 > 配置 > 归档配置

    使用Domain Admin特权登录到目标计算机。 找到文件夹; 右击 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户, 并提供完全控制权限。

  • 授予用户对所有DataSecurity Plus的计划报表文件夹的完全控制权。

    DataSecurity Plus要求完全控制在“计划报表”文件夹中,以将计划报表保存在指定位置。

    • 要查找“计划报表”文件夹的位置,请打开DataSecurity Plus > 文件审核 > 配置 > 计划报表 > 修改计划报表。 执行后您可以在下面看到位置。
    • 使用Domain Admin特权登录到目标计算机。 找到文件夹; 右击, 跳转到属性 > 安全 > 编辑; 添加 DataSecurity Plus用户, 并提供完全控制权限。

    对所有目标文件夹重复计划报表的步骤。

  • 向用户授予对所有DataSecurity Plus的告警脚本文件夹的读取和执行权限

    产品要求 读取 & 执行 触发告警后,每个告警脚本文件夹上的权限即可执行脚本

    • 要查找告警脚本文件夹的位置,打开DataSecurity Plus > 文件审核 > 告警 > 修改告警配置文件。 您可以在动作下面看到位置 。
    • 使用Domain Admin特权登录到目标计算机。 找到该文件夹,右键单击,转到 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户,并提供读取 & 执行权限。
  • 向用户授予对配置了“移动/删除”响应的文件的“修改”权限

    • 使用域管理员权限登录到目标计算机,找到为其配置了“移动/删除”响应的文件。
    • 右击 文件,跳转到 属性 > 安全 > 编辑, 添加 DataSecurity Plu用户, 并提供 修改 权限。
    • 对配置了指定响应的所有文件重复这些步骤。

2.文件审核模块所需的特权

以下步骤详细说明了分配DataSecurity Plus的“文件审核”模块所需的最低特权的过程。

  • 使用户成为高级用户组的成员
    • 使用“域管理员”权限登录到域控制器。 打开组策略管理控制台,右键单击 DataSecurity Plus权限GPO > 编辑
    • 在组策略管理编辑器中,选择 电脑配置 > 首选项 > 控制面板设置。 右击 本地用户和组 > 添加本地组。
    • 在“新建本地组属性”向导中,选择 根据操作进行更新。 选择 用户组 在“组名”下,添加DataSecurity Plus用户。

3. 数据风险评估模块所需的特权

DataSecurity Plus需要读取权限才能在文件共享中定位敏感数据(例如PII,ePHI,信用卡详细信息等)。

在需要审计的文件夹授予用户 读取权限有两种方法:

  • 使用户成为本地管理员组的成员。
    • 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
    • 选择目标计算机,然后打开 本地用户和组。 选择 右击 管理员 > 属性 > 添加DataSecurity Plus用户。
    • 对要审核的每个Windows文件服务器或群集重复上述步骤。
  • 授予用户对共享的读取权限以及对每个审核共享的NTFS权限。
    • 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 共享文件夹 > 添加 > 另一台电脑 > 添加目标计算机。
    • 选择目标计算机,选择共享右击 属性 > 安全 > 编辑 > 添加DataSecurity Plus用户然后提供 读取权限用于共享和NTFS。
    • 对要审核的每个共享重复上述步骤。

4.终端DLP模块所需的特权

DataSecurity Plus需要本地管理员凭据才能监视所有终端。 若要使用户成为本地管理员组的成员,请执行以下操作:

  • 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
  • 选择 目标计算机然后打开本地用户和组。选择右击 管理员 > 属性 > 添加DataSecurity Plus用户
  • 对要审核的每个终端重复上述步骤。
  • 注意:如果您要监视大量终端,那么让DataSecurity Plus用户成为每个终端的本地管理员是一项繁琐的任务。 为了简化过程,请向DataSecurity Plus用户提供Domain Administrator凭据。

5.文件分析模块所需的特权

本节详细介绍了DataSecurity Plus的“文件分析”模块所需的最低特权。

  • 确保本地系统用户具有对所有受监控文件的读取权限。
  • 默认情况下,本地系统用户 具有 完全控制权限。但是,对于文件分析,仅需要读取权限。如果您想更改默认权限,请确保 本地系统用户 具有 读取权限 在文件服务器中监控所有文件。