帮助中心
开始使用
- 系统要求
- 权限指南
- 端口配置指南
- 安装DataSecurity Plus
- 卸载DataSecurity Plus
- 启动DataSecurity Plus
- 访问DataSecurity Plus
- 配置您的解决方案
- 许可详细信息
- 应用DataSecurity Plus许可
文件审核
- 关于文件审核
设置文件审核
仪表板
报表
告警
配置
存储配置
终端 DLP
文件分析
数据风险访问
- 关于数据风险访问
设置数据风险访问
仪表板
报表
告警
配置
管理配置
常规设置
关于DataSecurity Plus
故障排除
联系我们权限指南
授予Domain Admin凭据后,DataSecurity Plus会立即开始在许可的模块中进行检测,审核,分析和响应活动。 如果您不想提供Domain Admin凭据,请按照本指南中的步骤设置所需权限最少的服务帐户。
1. 每个模块所需的特权
以下步骤列出了DataSecurity Plus的每个版本和每个模块所需的特权。 在提供每个模块的特定权限之前,应首先授予这些权限。
-
向用户授予对产品安装文件夹的完全控制权。
DataSecurity Plus需要完全控制产品安装文件夹才能写入数据库。
- 使用Domain Admin特权登录到安装了DataSecurity Plus的计算机。
- 找到产品安装文件夹; 右键点击属性 > 安全 > 编辑; 添加 DataSecurity Plus用户r,并提供完全控制权。
-
授予用户对DataSecurity Plus的存档文件夹的完全控制权。
DataSecurity Plus要求完全控制 在存档文件夹上,用于存储和检索数据库中的存档数据。
要查找存档文件夹的位置,请打开 DataSecurity Plus > 文件审核 > 配置 > 归档配置
使用Domain Admin特权登录到目标计算机。 找到文件夹; 右击 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户, 并提供完全控制权限。
-
授予用户对所有DataSecurity Plus的计划报表文件夹的完全控制权。
DataSecurity Plus要求完全控制在“计划报表”文件夹中,以将计划报表保存在指定位置。
- 要查找“计划报表”文件夹的位置,请打开DataSecurity Plus > 文件审核 > 配置 > 计划报表 > 修改计划报表。 执行后您可以在下面看到位置。
- 使用Domain Admin特权登录到目标计算机。 找到文件夹; 右击, 跳转到属性 > 安全 > 编辑; 添加 DataSecurity Plus用户, 并提供完全控制权限。
对所有目标文件夹重复计划报表的步骤。
-
向用户授予对所有DataSecurity Plus的告警脚本文件夹的读取和执行权限
产品要求 读取 & 执行 触发告警后,每个告警脚本文件夹上的权限即可执行脚本
- 要查找告警脚本文件夹的位置,打开DataSecurity Plus > 文件审核 > 告警 > 修改告警配置文件。 您可以在
动作 下面看到位置 。 - 使用Domain Admin特权登录到目标计算机。 找到该文件夹,右键单击,转到 属性 > 安全 > 编辑; 添加 DataSecurity Plus用户,并提供读取 & 执行权限。
- 要查找告警脚本文件夹的位置,打开DataSecurity Plus > 文件审核 > 告警 > 修改告警配置文件。 您可以在
-
向用户授予对配置了“移动/删除”响应的文件的“修改”权限
- 使用域管理员权限登录到目标计算机,找到为其配置了“移动/删除”响应的文件。
- 右击 文件,跳转到 属性 > 安全 > 编辑, 添加 DataSecurity Plu用户, 并提供 修改 权限。
- 对配置了指定响应的所有文件重复这些步骤。
2.文件审核模块所需的特权
以下步骤详细说明了分配DataSecurity Plus的“文件审核”模块所需的最低特权的过程。
- 使用户成为高级用户组的成员
- 使用“域管理员”权限登录到域控制器。 打开组策略管理控制台,右键单击 DataSecurity Plus权限GPO > 编辑
- 在组策略管理编辑器中,选择 电脑配置 > 首选项 > 控制面板设置。 右击 本地用户和组 > 添加本地组。
- 在“新建本地组属性”向导中,选择 根据操作进行更新。 选择 用户组 在“组名”下,添加DataSecurity Plus用户。
3. 数据风险评估模块所需的特权
DataSecurity Plus需要读取权限才能在文件共享中定位敏感数据(例如PII,ePHI,信用卡详细信息等)。
在需要审计的文件夹授予用户 读取权限有两种方法:
- 使用户成为本地管理员组的成员。
- 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
- 选择目标计算机,然后打开 本地用户和组。 选择 组右击 管理员 > 属性 > 添加DataSecurity Plus用户。
- 对要审核的每个Windows文件服务器或群集重复上述步骤。
- 授予用户对共享的读取权限以及对每个审核共享的NTFS权限。
- 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 共享文件夹 > 添加 > 另一台电脑 > 添加目标计算机。
- 选择目标计算机,选择共享右击 属性 > 安全 > 编辑 > 添加DataSecurity Plus用户然后提供 读取权限用于共享和NTFS。
- 对要审核的每个共享重复上述步骤。
4.终端DLP模块所需的特权
DataSecurity Plus需要本地管理员凭据才能监视所有终端。 若要使用户成为本地管理员组的成员,请执行以下操作:
- 使用Domain Admin特权登录到任何计算机。 打开 MMC控制台 > 文件 > 添加/删除管理单元。 选择 本地用户和组 > 添加 > 另一台电脑 > 添加目标计算机。
- 选择 目标计算机然后打开本地用户和组。选择组右击 管理员 > 属性 > 添加DataSecurity Plus用户
- 对要审核的每个终端重复上述步骤。
注意:如果您要监视大量终端,那么让DataSecurity Plus用户成为每个终端的本地管理员是一项繁琐的任务。 为了简化过程,请向DataSecurity Plus用户提供Domain Administrator凭据。
5.文件分析模块所需的特权
本节详细介绍了DataSecurity Plus的“文件分析”模块所需的最低特权。
- 确保本地系统用户具有对所有受监控文件的读取权限。
默认情况下,本地系统用户 具有 完全控制权限。但是,对于文件分析,仅需要读取权限。如果您想更改默认权限,请确保 本地系统用户 具有 读取权限 在文件服务器中监控所有文件。