首页 »

端点 DLP 策略部署

目录

  1. 数据发现
  2. 数据泄露防护
  3. 误报和覆盖
  4. 配置电子邮件告警

创建数据规则后,下一个关键步骤就是部署它。部署策略可确保数据规则在端点上得到执行,从而为整个网络中的敏感信息提供实时保护。

  1. 要部署策略,请转到 策略部署 -> 关联策略
  2. 在“选择自定义组”选项中,选择要与该策略关联的计算机组。

数据发现

从之前设置的数据分类中选择相关的数据规则,以在策略中应用。

受密码保护的文件可被分类为敏感文件,支持的格式包括 7z、zip、tar、Bzip2、xz、Gzip、RAR、RAR4、RAR5、WIM、ISO、ARG 和 ISOUDF。

策略部署

数据泄露防护

要管理敏感文件的各种访问控制,请导航至 策略部署 -> 数据丢失防护

应用程序访问设置

文件访问

“文件访问”功能使管理员能够指定哪些应用程序被允许访问和打开敏感文件。

  • 未配置:不应用任何限制或监控。所有应用程序都可以访问敏感文件,并且不会审计任何文件访问活动。
  • 仅审计:所有应用程序都可以访问和读取数据,但所有活动都会被跟踪和记录,并提供详细见解以供查看。
  • 仅允许受信任应用程序访问:允许管理员指定受信任应用程序列表,确保只有获批准的应用才能访问和打开被分类为敏感的文件。

  • 为了增强安全性,可以禁用 Windows 文件资源管理器中的预览窗格。
     

    策略部署

电子邮件客户端

“电子邮件客户端”功能允许管理员定义 Outlook 如何处理敏感文件,从而确保电子邮件通信期间的文件管理安全。

  1. 未配置:允许文件共享且不受任何限制,也不会审计任何电子邮件活动。
  2. 仅审计:所有文件都可以共享,但任何敏感文件的传输都会被跟踪和审计
  3. 仅允许在受信任域内:将敏感文件的共享限制为仅可发送到已配置的电子邮件域。任何试图将敏感文件传输到这些域之外的操作都会被阻止,从而确保文件安全,同时实现无缝的内部协作。

  4. 阻止包含敏感内容/附件的电子邮件:完全阻止通过电子邮件客户端共享敏感文件,确保敏感数据无法通过电子邮件传输。
     

    策略部署

同意设置

导航至 策略部署 -> 配置同意设置。 
启用此同意后,端点 DLP 将能够通过安装 Outlook 加载项来监控敏感电子邮件的传输。若未提供此同意,则不会安装加载项,敏感电子邮件传输也将无法被监控。

策略部署

外设设备设置

可移动存储设备

管理员可以控制在使用可移动存储设备时如何管理敏感文件,确保安全处理并防止未经授权的数据传输。

  1. 未配置:不应用任何限制。敏感文件可以不受限制地传输到可移动存储设备,并且不会审计任何传输活动。
  2. 仅审计:包含敏感数据的文件可以传输,但所有此类传输都会被跟踪和审计。
  3. 仅允许在受信任设备内:允许管理员定义受信任设备列表。仅允许在这些已批准设备之间传输敏感文件,而传输到所有其他设备的操作都会被阻止。

  4. 阻止敏感文件传输:完全限制将包含敏感数据的文件传输到可移动存储设备,确保敏感数据无法被移动或复制。
     

    策略部署

打印机

管理员可以管理打印过程中敏感文件的处理方式,确保安全处理并防止未经授权的访问或分发。

  1. 未配置:不应用任何限制。敏感文件可以不受限制地打印,并且不会审计任何打印活动。
  2. 仅审计:允许打印敏感文档,但所有打印活动都会被跟踪和审计。
  3. 仅允许在受信任设备内:仅允许在受信任打印机上打印敏感文件,而在所有其他设备上的打印都会被阻止,以确保安全。

  4. 阻止打印敏感文件:完全限制打印敏感文件,防止任何未经授权的打印。
     

    策略部署

注意:当前不支持基于上下文的分类的打印限制,例如基于文件扩展名的分类。
  • 可以配置自定义水印,使其打印在来自受信任来源(应用程序包括文件访问和 Outlook)的文档上,增加额外的标识和安全层。

  • 提供一个选项,允许用户基于业务原因覆盖限制,从而允许在其他打印机上打印敏感内容。
     

    策略部署

Web 应用程序设置

文件上传

配置设置以防止将敏感文件上传到 Web,确保关键数据保持安全。

  1. 未配置:不应用任何限制。敏感文件可以不受限制地上传,并且不会审计任何文件上传活动。
  2. 仅审计:对数据上传没有限制。但是,当敏感数据上传到非受信任域时,该活动会被审计。
  3. 仅允许在受信任域内:仅允许将敏感数据上传到受信任域,而上传到不受信任域的操作将受到限制。

  4. 阻止敏感文件上传:完全限制将敏感文件上传到任何域或目标位置。
     

    策略部署

  5. 选择要监控文件上传的 Web 浏览器。

  6. 添加受信任域列表,在这些域中不应跟踪敏感文件上传。
     

    策略部署

注意:文件上传是通过浏览器扩展进行限制的,因此在隐私浏览或访客模式下不会进行监控。建议在受管浏览器中禁用这些模式,以确保对文件上传进行完整跟踪。

同意设置

  1. 导航至 策略部署 -> 配置同意设置

  2. 提供同意后将安装浏览器插件,使端点 DLP 能够阻止敏感文件上传到 Web。若未提供同意,则不会安装插件,敏感文件上传也无法受到限制。
     

    策略部署

文件下载

在设置选项下,您可以启用该功能,以默认将由企业应用创建的文件或从企业 Web 域或电子邮件下载的文件自动标记为敏感。

策略部署

剪贴板设置

屏幕截图

“屏幕截图”功能允许管理员启用或限制屏幕捕获。

  1. 允许选项允许所有用户不受限制地对敏感数据进行截图。
  2. 在受信任应用程序内阻止 会限制在“文件访问”设置下列出的任何受信任应用程序中对敏感数据进行截图,从而增强数据安全性。

策略部署

注意:受信任应用程序取自文件访问中的应用程序列表。

剪贴板限制

“剪贴板限制”选项可防止将信息从受信任应用程序复制到不受信任应用程序,同时仍允许在列出的受信任应用程序内复制文件。

策略部署

场景:当从受信任应用程序复制的内容粘贴到浏览器中时,仅当目标是受信任域时才允许粘贴。来自受信任应用程序的内容不能粘贴到浏览器中的不受信任域。

误报和覆盖

误报

“如果是误报则自动覆盖”功能允许用户在他们认为非敏感文件被错误标记为敏感时绕过阻止。所有覆盖操作都会记录在审计日志中以供查看。该选项可在 DLP 策略微调完成之前临时启用,以确保员工生产力不受影响。

策略部署

配置电子邮件告警

“邮件配置”功能允许您配置电子邮件通知,以便在用户提出业务覆盖请求或报告误报时发送给管理员。这可确保管理员能够实时收到提醒,并立即采取措施审查和处理事件。

策略部署

邮件通知设置

  1. 导航至 设置 -> 配置邮件通知

  2. 添加在报告覆盖时需要收到通知的电子邮件地址列表。
     

    策略部署

我们的客户