帮助中心

开始使用

文件审核

关于文件审核

设置文件审核

仪表板

报表

告警

默认告警

配置

存储配置

终端 DLP

关于终端 DLP

设置终端 DLP

报表

告警

触发告警

配置

文件分析

关于文件分析

设置文件分析

仪表板

报表

告警

所有告警

配置

数据风险访问

关于数据风险访问

设置数据风险访问

仪表板

仪表板

报表

告警

默认告警

配置

管理配置

常规设置

关于DataSecurity Plus

故障排除

HTTP通讯失败

联系我们

Rate this page:

WRITE TO US

Please enter a valid the email id

By clicking 'SEND', you agree to processing of personal data according to the Privacy Policy.

权限指南

授予Domain Admin凭据后，DataSecurity Plus会立即开始在许可的模块中进行检测，审核，分析和响应活动。如果您不想提供Domain Admin凭据，请按照本指南中的步骤设置所需权限最少的服务帐户。

1. 每个模块所需的特权

以下步骤列出了DataSecurity Plus的每个版本和每个模块所需的特权。在提供每个模块的特定权限之前，应首先授予这些权限。

向用户授予对产品安装文件夹的完全控制权。

DataSecurity Plus需要完全控制产品安装文件夹才能写入数据库。
- 使用Domain Admin特权登录到安装了DataSecurity Plus的计算机。
- 找到产品安装文件夹；右键点击属性 > 安全 > 编辑; 添加 DataSecurity Plus用户r，并提供完全控制权。
授予用户对DataSecurity Plus的存档文件夹的完全控制权。

DataSecurity Plus要求完全控制 在存档文件夹上，用于存储和检索数据库中的存档数据。

要查找存档文件夹的位置，请打开 DataSecurity Plus > 文件审核 > 配置 > 归档配置

使用Domain Admin特权登录到目标计算机。找到文件夹; 右击 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户, 并提供完全控制权限。
授予用户对所有DataSecurity Plus的计划报表文件夹的完全控制权。

DataSecurity Plus要求完全控制在“计划报表”文件夹中，以将计划报表保存在指定位置。
- 要查找“计划报表”文件夹的位置，请打开DataSecurity Plus > 文件审核 > 配置 > 计划报表 > 修改计划报表。 执行后您可以在下面看到位置。
- 使用Domain Admin特权登录到目标计算机。找到文件夹; 右击，跳转到属性 > 安全 > 编辑; 添加 DataSecurity Plus用户， 并提供完全控制权限。
对所有目标文件夹重复计划报表的步骤。
向用户授予对所有DataSecurity Plus的告警脚本文件夹的读取和执行权限

产品要求 读取 & 执行 触发告警后，每个告警脚本文件夹上的权限即可执行脚本
- 要查找告警脚本文件夹的位置，打开DataSecurity Plus > 文件审核 > 告警 > 修改告警配置文件。 您可以在动作下面看到位置。
- 使用Domain Admin特权登录到目标计算机。找到该文件夹，右键单击，转到 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户，并提供读取 & 执行权限。
向用户授予对配置了“移动/删除”响应的文件的“修改”权限
- 使用域管理员权限登录到目标计算机，找到为其配置了“移动/删除”响应的文件。
- 右击文件，跳转到 属性 > 安全 > 编辑, 添加 DataSecurity Plu用户， 并提供修改权限。
- 对配置了指定响应的所有文件重复这些步骤。

2.文件审核模块所需的特权

以下步骤详细说明了分配DataSecurity Plus的“文件审核”模块所需的最低特权的过程。

使用户成为高级用户组的成员
- 使用“域管理员”权限登录到域控制器。打开组策略管理控制台，右键单击 DataSecurity Plus权限GPO > 编辑
- 在组策略管理编辑器中，选择 电脑配置 > 首选项 > 控制面板设置。 右击 本地用户和组 > 添加本地组。
- 在“新建本地组属性”向导中，选择 根据操作进行更新。 选择 用户组 在“组名”下，添加DataSecurity Plus用户。

3. 数据风险评估模块所需的特权

DataSecurity Plus需要读取权限才能在文件共享中定位敏感数据（例如PII，ePHI，信用卡详细信息等）。

在需要审计的文件夹授予用户 读取权限有两种方法：

使用户成为本地管理员组的成员。
- 使用Domain Admin特权登录到任何计算机。打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
- 选择目标计算机，然后打开 本地用户和组。 选择组右击 管理员 > 属性 > 添加DataSecurity Plus用户。
- 对要审核的每个Windows文件服务器或群集重复上述步骤。
授予用户对共享的读取权限以及对每个审核共享的NTFS权限。
- 使用Domain Admin特权登录到任何计算机。打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 共享文件夹 > 添加 > 另一台电脑 > 添加目标计算机。
- 选择目标计算机，选择共享右击 属性 > 安全 > 编辑 > 添加DataSecurity Plus用户然后提供 读取权限用于共享和NTFS。
- 对要审核的每个共享重复上述步骤。

4.终端DLP模块所需的特权

DataSecurity Plus需要本地管理员凭据才能监视所有终端。若要使用户成为本地管理员组的成员，请执行以下操作：

使用Domain Admin特权登录到任何计算机。打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
选择 目标计算机然后打开本地用户和组。选择组右击 管理员 > 属性 > 添加DataSecurity Plus用户
对要审核的每个终端重复上述步骤。

注意:如果您要监视大量终端，那么让DataSecurity Plus用户成为每个终端的本地管理员是一项繁琐的任务。为了简化过程，请向DataSecurity Plus用户提供Domain Administrator凭据。

5.文件分析模块所需的特权

本节详细介绍了DataSecurity Plus的“文件分析”模块所需的最低特权。

确保本地系统用户具有对所有受监控文件的读取权限。

默认情况下，本地系统用户 具有 完全控制权限。但是，对于文件分析，仅需要读取权限。如果您想更改默认权限，请确保 本地系统用户 具有 读取权限 在文件服务器中监控所有文件。