帮助中心

第三方软件 联系我们
×
  • Rate this page:
  • WRITE TO US
  • Please enter a valid the email id
  • By clicking 'SEND', you agree to processing of personal data according to the Privacy Policy.

权限和特权指南

一旦授予域管理员凭据,DataSecurity Plus 将立即开始其所有许可模块中的检测、审计、分析和响应活动。它还允许软件在将目标计算机添加到控制台时自动安装 DataSecurity Plus 代理。

然而,如果您不想提供域管理员凭据,可以按照本指南中的步骤设置一个具有所需最低权限的服务帐户。

注意: 下面列出的最低权限限制了DataSecurity Plus在目标计算机上自动安装代理。有关如何手动安装、更新或卸载代理的信息,请参考 代理文档.

第一步:为DataSecurity Plus创建新用户

使用域管理员权限登录域控制器。打开Active Directory用户和计算机 > 右键单击您的域 > 新建 > 用户 > 将用户命名为DataSecurity Plus。

第二步:为用户分配所有模块共同的权限

以下是DataSecurity Plus的每个版本和每个模块所需的权限。在提供特定于每个模块的权限之前,应首先授予这些权限。

  • 为用户授予对产品安装文件夹的完全控制权限。

    DataSecurity Plus需要对产品安装文件夹的完全控制权限以写入数据库。

    • 使用域管理员权限登录已安装DataSecurity Plus的计算机。
    • 定位产品安装文件夹;右键单击属性 > 安全 > 编辑;添加DataSecurity Plus用户,并提供完全控制权限。
  • 为用户授予对DataSecurity Plus存档文件夹的完全控制权限

    DataSecurity Plus需要对存档文件夹的完全控制权限,以从数据库中存储和检索存档数据。

    要找到存档文件夹的位置,请打开DataSecurity Plus > 管理员 > 配置 > 存档配置。

    使用域管理员权限登录目标计算机。定位文件夹;右键单击属性 > 安全 > 编辑;添加DataSecurity Plus用户,并提供完全控制权限。

  • 为用户授予对所有DataSecurity Plus定期报告文件夹的完全控制权限

    DataSecurity Plus需要对定期报告文件夹的完全控制权限,以将定期报告保存在指定位置。

    • 要找到定期报告文件夹的位置,请打开DataSecurity Plus > 管理员 > 定期报告 > 修改定期报告。您可以在执行后看到位置。
    • 使用域管理员权限登录目标计算机。定位文件夹;右键单击,转到属性 > 安全 > 编辑;添加DataSecurity Plus用户,并提供完全控制权限。

    对所有定期报告的目标文件夹重复上述步骤。

  • 为用户授予对DataSecurity Plus警报脚本文件夹的读取和执行权限

    该产品需要在警报脚本文件夹上具有读取和执行权限以执行预定义脚本。

    • 要找到警报脚本文件夹的位置,请打开DataSecurity Plus > 配置 > 警报 > 修改警报配置。您可以在操作下看到位置。
    • 使用域管理员权限登录目标计算机。定位文件夹,右键单击,转到属性 > 安全 > 编辑,添加DataSecurity Plus用户,并提供读取和执行权限。
  • 为配置了移动/删除响应的文件授予用户修改权限

    • 使用域管理员权限登录目标计算机。定位配置了移动/删除响应的文件。
    • 右键单击文件,转到属性 > 安全 > 编辑,添加DataSecurity Plus用户,并提供修改权限。
    • 对配置了指定响应的所有文件重复上述步骤。

第三步:为用户分配各个模块所需的权限

为了正常运行,每个模块都需要将一些特定权限分配给DataSecurity Plus用户。按照您许可的模块下的步骤来分配这些权限。

1. 文件审计

以下是文件审计模块所需的最低权限的详细步骤。

  • 创建一个新组

    要创建一个新组,请按照以下步骤操作:

    • 使用域管理员权限登录域控制器并打开服务器管理器。
    • 点击右上角的工具。
    • 转到Active Directory用户和计算机。
    • 右键单击您的域 > 新建 > 组。
    • 将组名称设置为“DataSecurity Plus权限组”,然后单击确定。
    • 将所有审计计算机添加到DataSecurity Plus权限组。
    • 右键单击DataSecurity Plus权限组,然后选择属性。
    • 选择成员,然后单击添加以添加要审计的域控制器、Windows文件服务器和工作站。
    • 单击确定。
  • 创建一个新的域级GPO并将其链接到所有被审计的计算机

    在所有受监视的计算机中配置权限的最简单方法是创建一个域级别的GPO,而不是在每台计算机中配置权限。

    要创建一个新的域级GPO,请按照以下步骤操作:

    • 使用域管理员权限登录域控制器并打开服务器管理器。
    • 点击右上角的工具。
    • 选择组策略管理,以显示目标域中的所有GPO。
    • 在组策略管理窗口的左侧面板中,展开域文件夹并选择您的域。右键单击并选择在此域中创建GPO,然后将其链接到这里...
    • 将新的GPO命名为“DataSecurity Plus权限GPO”,然后单击确定。
  • 删除Authenticated users组的应用组策略权限

    要删除Authenticated Users组的应用组策略权限,请按照以下步骤操作:

    • 在组策略管理窗口中,展开域文件夹,选择您的域,然后双击DataSecurity Plus权限GPO。
    • 您将看到一个组策略管理控制台弹出窗口,其中显示“您已选择链接到组策略对象(GPO)。除了更改链接属性之外,在这里进行的更改是全局的,并将影响将此GPO链接到的所有其他位置。”单击确定。
    • 在DataSecurity Plus权限GPO窗口的右窗格中,单击委派选项卡。
    • 在列出的组和用户下,选择Authenticated Users并单击窗口右下角的高级选项。
    • 在DataSecurity Plus权限组安全设置窗口中,选择Authenticated Users,并在Authenticated Users的权限下,取消选中所有允许权限。
    • 选择应用并单击确定。
  • 将DataSecurity Plus权限组添加到DataSecurity Plus权限GPO的安全筛选设置中

    要将DataSecurity Plus权限组添加到安全筛选设置中,请按照以下步骤操作:

    • 在组策略管理窗口中,展开域文件夹,选择您的域,然后双击DataSecurity Plus权限GPO。
    • 您将看到一个组策略管理控制台弹出窗口,其中显示“您已选择链接到组策略对象(GPO)。除了更改链接属性之外,在这里进行的更改是全局的,并将影响将此GPO链接到的所有其他位置。”单击确定。
    • 在DataSecurity Plus权限GPO窗口的右窗格中,选择委派选项卡。
    • 单击高级,并单击添加以选择用户、计算机、服务帐户或组。
    • 在“输入要选择的对象名称”下,输入“DataSecurity Plus权限组”,然后单击检查名称。
    • 单击确定
  • 将用户添加到域管理员组

    要将用户添加到域管理员组,请按照以下步骤操作:

    • 在组策略管理窗口中展开域文件夹,并在目标域下选择DataSecurity Plus权限GPO。
    • 右键单击DataSecurity Plus权限GPO > 编辑。
    • 在组策略管理编辑器窗口中,选择计算机配置 > 首选项 > 控制面板设置。
    • 选择并右键单击本地用户和组。
    • 转到新建 > 本地组。
    • 在新的本地组属性向导中,点击动作标签旁边的更新。在组名下选择域管理员(内置)组。
    • 在成员标签中,点击添加。在本地组成员向导中的成员名称字段旁边键入“DataSecurity Plus”,然后单击确定。
  • 配置Windows故障转移集群的DCOM和WMI权限

    注意 : DCOM和WMI权限仅适用于Windows故障转移集群审计。

    启用DCOM权限:

    • 在Windows图标旁边的搜索栏中键入“组件服务”。
    • 点击计算机 > 我的电脑,然后右键单击选择属性。
    • 选择COM安全,然后点击启动和激活权限下的编辑限制。
    • 在启动和激活权限窗口中的安全限制下,单击添加 > 在“输入要选择的对象名称(示例)”下输入专用DataSecurity Plus用户的用户名,然后点击确定。
    • 为DataSecurity Plus用户设置所有权限。

    启用WMI权限

    • 转到开始并键入命令“wmimgmt.msc”。
    • 右键单击左上角的WMI控制。
    • 选择属性 > 安全。
    • 展开根。
    • 选择CIMV2,然后单击WMI控制(本地)属性窗口右下角的安全。
    • 点击添加 > 在“输入要选择的对象名称(示例)”下输入专用DataSecurity Plus用户的用户名,然后点击确定。
    • 为DataSecurity Plus用户设置所有权限,然后点击应用 > 确定。

2. 文件分析

此部分详细介绍了DataSecurity Plus的文件分析模块所需的最低权限。

  • 确保本地系统用户对所有要监视的文件具有读取权限。

    默认情况下,本地系统用户具有完全控制权限。然而,对于文件分析,只需要读取权限。如果您希望更改默认权限,请确保本地系统用户对文件服务器中要监视的所有文件都具有读取权限。

3. 风险分析

DataSecurity Plus需要至少读取权限才能在以下位置查找敏感数据(例如PII、ePHI和信用卡详细信息):

通过以下步骤为Windows文件服务器上的用户提供读取权限::

有两种方法可以为要求的共享提供用户读取权限:

  • 将用户添加到本地管理员组。

    • 使用域管理员权限登录任何计算机。
    • 打开Microsoft Management Console(MMC)并转到文件 > 添加/删除快照。
    • 点击本地用户和组 > 添加 > 另一台计算机。
    • 选择目标计算机,然后点击完成。
    • 打开本地用户和组。
    • 选择组。
    • 右键单击管理员,然后点击属性 > 添加DataSecurity Plus用户。
    • 对每个要执行风险分析的Windows文件服务器或集群重复上述步骤。
  • 为每个扫描的共享的共享和NTFS提供用户读取权限。

    • 使用域管理员权限登录任何计算机。
    • 打开MMC并转到文件 > 添加/删除快照
    • 点击共享文件夹 > 添加 > 另一台计算机。
    • 选择目标计算机。
    • 点击完成。这将打开目标计算机的共享列表,前提是用户具有必要的权限。
    • 右键单击所需的共享,然后点击属性 > 安全 > 编辑。
    • 将DataSecurity Plus用户添加为要为其提供读取权限的用户。
    • 单击输入以为共享和NTFS提供读取权限。
    • 对每个要扫描的共享重复上述步骤。

    为每个要审计的共享重复以上步骤。

通过以下步骤为Microsoft SQL数据库服务器上的用户提供读取权限:

  • 授予用于监视的SQL帐户以下角色。.

    • 使用系统管理员权限登录任何计算机。
    • 打开SQL Server Management Studio。如果尚未安装,请在此处下载。
    • 点击登录。 
    • 右键单击适当的用户,然后点击属性。
    • 点击服务器角色,然后选择public。默认情况下,public角色应具有数据库的访问和读取权限。
    • 点击登录。
    • 右键单击适当的用户,然后点击属性。
    • 点击用户映射。对于所有数据库,应将public和db_datareader角色分配给用户。

4. 端点DLP

DataSecurity Plus需要对要监视的所有端点具有本地管理员凭据。要将DataSecurity Plus用户设置为本地管理员组的成员:

  • 使用域管理员权限登录任何计算机。打开MMC控制台 > 文件 > 添加/删除快照。选择本地用户和组 > 添加 > 另一台计算机 > 添加目标计算机。
  • 选择目标计算机,并打开本地用户和组。选择组,右键单击管理员 > 属性 > 添加DataSecurity Plus用户。
  • 对每个要进行审计的端点重复上述步骤。

注意:如果要监视大量的端点,将DataSecurity Plus用户设置为每个端点的本地管理员是一项繁琐的任务。为了简化流程,请为DataSecurity Plus用户提供域管理员凭据。