IT-administratörer för medelstora och stora företag bör följa de här säkerhetsrutinerna för att stärka säkerheten och sekretessen för företagsinformation. Använd en eller flera inställningar i Googles administratörskonsol för att införa varje rutin i denna checklista.
Om företaget inte har någon IT-administratör kan Checklistan för säkerhetsåtgärder för små företag (1–100 användare) passa bättre för ditt företag.
Obs! Alla inställningar som beskrivs här är inte tillgängliga i alla Google Workspace-utgåvor eller Cloud Identity-utgåvor.
Metodtips för säkerhet – konfiguration
För att skydda ditt företag är många av de inställningar som rekommenderas i den här checklistan aktiverade som standard.
Eftersom avancerade administratörer kontrollerar åtkomsten till all data för företaget och medarbetare i organisationen är det särskilt viktigt att deras konton skyddas.
En fullständig lista över rekommendationer finns i Metodtips för säkerhet för administratörskonton.
Tillämpa multifaktorsautentisering
Kräv tvåstegsverifiering för användare Tvåstegsverifiering bidrar till att skydda användarnas konton från obehörig åtkomst om någon lyckas komma över deras lösenord. Skydda företaget med tvåstegsverifiering | Implementera tvåstegsverifiering |
|
Tillämpa säkerhetsnycklar, åtminstone för administratörer och andra värdefulla konton Säkerhetsnycklar är små maskinvaruenheter som används när du loggar in och som ger tvåfaktorsautentisering som motstår nätfiske. |
Skydda lösenord
Förhindra att lösenord återanvänds med lösenordsskyddet Använd lösenordsskyddet för att se till att användarna inte använder sina lösenord på andra webbplatser. |
|
Använd unika lösenord Ett bra lösenord är det första skyddet för användar- och administratörskonton. Unika lösenord är inte lätta att gissa. Användare bör inte återanvända lösenord i flera konton, till exempel e-post och internetbank. |
Förhindra att konton utsätts för intrång och åtgärda obehörig åtkomst
Granska regelbundet aktivitetsrapporter och varningar Granska aktivitetsrapporter för kontostatus, administratörsstatus och registeringsuppgifter för tvåstegsverifering. |
|
Konfigurera e-postvarningar för administratör Konfigurera e-postvarningar för potentiellt riskfyllda händelser, till exempel misstänkta inloggningsförsök, mobila enheter som utsatts för intrång eller när en annan administratör ändrar inställningarna. |
|
Lägg till inloggningsfråga för användare Ställ in inloggningsfrågor för misstänkta inloggningsförsök. Användare måste ange en verifieringskod som Google skickar till deras återställningsnummer eller återställningsadress, eller så måste de svara på en fråga som bara kontoägaren kan besvara. Verifiera användarens identitet med extra säkerhet | Lägg till anställnings-id som inloggningsfråga |
|
Identifiera och skydda konton som utsatts för intrång Om du misstänker att ett konto kan utsättas för intrång spärrar du kontot, undersöker de misstänkta aktiviteterna och vidtar åtgärder om det behövs.
|
|
Inaktivera nedladdning av Google-data efter behov Om ett konto utsätts för intrång eller användaren lämnar företaget ska du hindra användaren från att ladda ned all sin Google-data med Google Takeout. |
|
Förhindra obehörig åtkomst när en anställd slutar Förhindra dataläckor genom att återkalla en användares åtkomst till organisationens data när hen lämnar företaget. |
Granska åtkomst till tjänster för tredje part Veta och godkänn vilka tredjepartsappar som har åtkomst till tjänsterna i Google Workspace, till exempel Gmail och Drive. Styr vilka externa och interna appar som får åtkomst till Google Workspace-data |
|
Blockera åtkomst till mindre säkra appar Mindre säkra appar använder inte moderna säkerhetsstandarder som OAuth och ökar risken för att konton eller enheter utsätts för intrång. |
|
Skapa en lista över betrodda appar Skapa en godkännandelista som anger vilka tredjepartsappar som har tillgång till tjänsterna i Google Workspace. Styr vilka externa och interna appar som får åtkomst till Google Workspace-data |
|
Styr åtkomsten till Googles tjänster Du kan tillåta eller blockera åtkomst till Google-appar som Gmail, Drive och Kalender baserat på enhetens IP-adress, geografiska ursprung, säkerhetspolicyer eller OS. Du kan till exempel tillåta Drive för datorn på företagsägda enheter i specifika länder/regioner. |
|
Lägg till ytterligare ett krypteringslager för användarnas appdata Om organisationen arbetar med känslig immateriell egendom eller verkar i en starkt reglerad bransch kan du lägga till kryptering på klientsidan i Gmail, Google Drive, Google Meet och Google Kalender. |
Begränsa extern kalenderdelning Begränsa extern kalenderdelning till information om ledig/upptagen. Detta minskar risken för dataläckage. |
|
Varna användarna när de bjuder in externa gäster Som standard varnas användarna i Kalender när de bjuder in externa gäster. Detta minskar risken för dataläckage. Kontrollera att den här varningen är på för alla användare. |
Begränsa vem som kan chatta externt Tillåt endast användare med ett specifikt behov att skicka meddelanden eller skapa rum med användare utanför organisationen. Detta förhindrar att externa användare ser tidigare interna diskussioner och minskar risken för dataläckage. |
|
Varna användarna när de chattar utanför domänen (endast klassiska Hangouts) Visa användarna en varning när de chattar med personer utanför domänen. När den här inställningen är aktiverad delas gruppchattkonversationer när den första personen utanför domänen läggs till i diskussionen. Detta förhindrar att externa användare ser tidigare interna diskussioner och minskar risken för dataläckage. I Chat markeras externa användare och rum alltid som Externa. |
|
Ange en inbjudningspolicy för chatt Bestäm vilka användare som automatiskt kan acceptera chattinbjudningar baserat på din organisations policy för samarbete. |
Håll webbläsaren Chrome och ChromeOS uppdaterade Tillåt uppdateringar för att säkerställa att användarna har de senaste säkerhetskorrigeringarna. Tillåt alltid uppdateringar i webbläsaren Chrome. Som standard uppdateras Chrome OS-enheter till den senaste versionen av Chrome när den blir tillgänglig. Kontrollera att automatiska uppdateringar har aktiverats för alla användare av ChromeOS-enheter. Konfigurera Chrome-policyer för användare eller webbläsare | Hantera uppdateringar på ChromeOS-enheter |
|
Tvinga omstart om du vill tillämpa uppdateringar Konfigurera webbläsaren Chrome och ChromeOS-enheter för att informera användarna om att de måste starta om sina webbläsare eller starta om sina enheter för att uppdateringen ska tillämpas och tvinga omstart efter en viss tid om användaren inte agerar. Uppmana användarna att starta om för att tillämpa väntande uppdateringar |
|
Konfigurera grundläggande policyer för ChromeOS-enheter och webbläsaren Chrome Ange följande policyer på Googles administratörskonsol:
|
|
Ange avancerade policyer för webbläsaren Chrome Förhindra obehörig åtkomst, farliga nedladdningar och dataläckor mellan webbplatser genom att ställa in följande avancerade policyer:
Ange policyer för Chrome-webbläsare på hanterade datorer | Konfigurationsguide för företagssäkerhet i webbläsaren Chrome (Windows) |
|
Ange en policy för webbläsare på Windows-datorer Om du vill använda webbläsaren Chrome i organisationen men har användare som behöver äldre webbplatser och appar som kräver Internet Explorer, ger den här funktionen dem möjlighet att enkelt växla mellan Chrome och en annan webbläsare. Använd stöd för äldre webbläsare för att ge stöd för appar som kräver en äldre webbläsare. |
Du kan skydda användarkonton och deras jobbdata på mobila enheter, surfplattor, laptops och datorer med Googles ändpunktshantering.
En fullständig lista över rekommendationer finns i säkerhetschecklistan för enhetshantering.
Begränsa delning och samarbete utanför domänen
Ange alternativ eller skapa regler för fildelning utanför organisationen Begränsa fildelningen inom dina domäner genom att inaktivera delningsalternativ eller skapa förtroenderegler (som ger dig mer exakt kontroll över delningen). Detta minskar riskerna för dataläckor och dataradering. Om verksamheten kräver delning utanför organisationen kan du definiera hur delningen ska genomföras till för enskilda organisationsenheter och ange tillåtna domäner på listan. Begränsa delning utanför tillåtna domäner | Begränsa delning utanför organisationen | Skapa förtroenderegler för att begränsa extern delning |
|
Varna användare när de delar en fil utanför domänen Om du tillåter att användare delar filer utanför domänen aktiverar du en varning när en användare gör det. Detta gör att användarna kan bekräfta om denna åtgärd är avsedd och minskar risken för dataläckage. |
|
Förhindra att användare publicerar på webben Inaktivera filpublicering på webben. Detta minskar risken för dataläckage. |
|
Ange allmänna åtkomstalternativ för fildelning Ställ in standardalternativet för åtkomst för fildelning på Begränsad. Endast filägare ska ha åtkomst till filer tills de delas. Alternativt kan du skapa anpassade delningsgrupper (målgrupper) för användare på olika avdelningar. |
|
Begränsa filåtkomst till enbart mottagare När en användare delar en fil via en annan Google-produkt än Dokument eller Drive (t.ex. genom att klistra in en länk i Gmail) kan Google kontrollera att mottagarna har åtkomst. Konfigurera Åtkomstkontroll för Endast mottagare. På så vis får du kontroll över åtkomsten till länkar som dina användare delar, och du minskar risken för dataläckor. |
|
Förhindra eller begränsa risken för att externa användare kan upptäcka organisationens gruppmedlemskap Om du vill förhindra att användare i en annan organisation som använder Google Workspace upptäcker organisationens gruppmedlemskap kan du inte tillåta att externa organisationer delar filer med dina användare. Du kan även begränsa den här typen av risk genom att enbart tillåta extern delning med godkända domäner. Om du använder delningsinställningar för Google Drive: Gör något av följande för varje organisationsenhet som du vill skydda mot denna risk:
Mer information finns i Hantera extern delning för organisationen. Om du använder förtroenderegler för Drive-delning: Skapa först en förtroenderegel med följande inställningar för att begränsa denna risk:
Mer information finns i Skapa en förtroenderegel. Inaktivera sedan standardregeln [Standard] Användare i organisationen kan dela med en varning och ta emot från alla. Mer information finns i Visa eller redigera information om förtroenderegler. |
|
Kräv inloggning på Google för externa användare Kräv att externa användare loggar in med ett Google-konto. Om de inte har ett Google-konto kan de skapa ett utan kostnad. Detta minskar risken för dataläckage. Inaktivera inbjudningar till konton utanför Google utanför domänen |
|
Begränsa vem som kan flytta innehåll från delade enheter Tillåt endast användare i din organisation att flytta filer från sin delade enhet till en Drive-plats i en annan organisation. |
|
Hantera innehållsdelning för nya delade enheter Begränsa vem som kan skapa delade enheter, få åtkomst till innehåll eller ändra inställningarna för nya delade enheter. |
Begränsa lokala kopior av data i Drive
Inaktivera åtkomst till offlinedokument Minska risken för dataläckage genom att inaktivera åtkomst till offlinedokument. När dokument är tillgängliga offline lagras en kopia av dokumentet lokalt. Om du av verksamhetsskäl vill aktivera åtkomsten till offlinedokument aktiverar du funktionen per organisationsenhet för att minimera riskerna. |
|
Inaktivera skrivbordsåtkomst till Drive Användarna kan få skrivbordsåtkomst till Drive med Google Drive för datorn. Minska risken för dataläckor genom att inaktivera skrivbordsåtkomst till Drive. Om du bestämmer dig för att aktivera skrivbordsåtkomst ska du bara aktivera den för användare som verkligen behöver det i arbetet. |
Styra åtkomsten till din data för appar från tredje part
Tillåt inte Google Dokument-tillägg Minska risken för dataläckage genom att inte tillåta att användare installerar tillägg för Google Dokument från tilläggsbutiken. Om du vill ha stöd för ett visst affärsbehov kan du implementera specifika tillägg för Google Dokument som överensstämmer med organisationens policy. |
Skydda känslig data
Blockera eller varna vid delning av filer med känslig data Minska risken för dataläckor genom att konfigurera regler för skydd mot dataförlust så att filer genomsöks efter känslig data och åtgärder vidtas när användare försöker dela matchande filer externt. Du kan till exempel blockera extern delning av dokument som innehåller passnummer och få en e-postvarning. |
Konfigurera autentisering och infrastruktur
Validera e-post med SPF, DKIM och DMARC SPF, DKIM och DMARC är ett valideringssystem för e-post som använder DNS-inställningar för att autentisera, digitalt signera och förhindra identitetsförfalskning av domänen. Angripare förfalskar ibland Från-adressen i e-postmeddelanden så att meddelanden verkar komma från en användare på din domän. Förhindra detta genom att konfigurera SPF och DKIM för alla utgående e-postflöden. När SPF och DKIM är på plats kan du konfigurera en DMARC-post för att definiera hur Google och andra mottagare ska behandla icke-autentiserade e-postmeddelanden som utger sig från att komma från din domän. Förhindra skräppost, identitetsförfalskning och nätfiske med Gmail-autentisering |
|
Ställ in gateways för inkommande e-post så att de fungerar med SPF SPF bidrar till att förhindra att utgående meddelanden skickas till skräppost, men en gateway kan påverka hur SPF fungerar. Om du använder en e-postgateway för att dirigera inkommande e-post, ska du se till att den är korrekt konfigurerad för Sender Policy Framework (SPF). |
|
Förbättra TLS med dina partnerdomäner Konfigurera TLS-inställningen så att en säker anslutning måste användas för e-post till (eller från) partnerdomäner. |
|
Kräv avsändarautentisering för alla godkända avsändare Kräv autentisering när du skapar en adresslista över godkända avsändare som kan kringgå skräppostklassificering. När avsändarautentisering har inaktiverats kan Gmail inte verifiera att meddelandet har skickats av personen det verkar komma från. När du kräver autentisering minskar risken för identitetsförfalskning och nätfiske/whaling. Läs mer om avsändarautentisering. |
|
Konfigurera MX-poster för korrekt e-postflöde Konfigurera MX-posterna så att de pekar på Googles e-postservrar som högsta prioritetspost för att säkerställa korrekt e-postflöde till Google Workspace-domänanvändarna. Detta minskar risken för borttagning av data (via e-post som kommer bort) och hot från skadlig programvara. Konfigurera MX-poster för Google Workspace Gmail | MX-postvärden för Google Workspace |
Skydda användare och organisationer
Inaktivera IMAP/POP-åtkomst IMAP- och POP-skrivbordsklienter låter användarna komma åt Gmail via e-postklienter från tredje part. Inaktivera POP- och IMAP-åtkomst för alla användare som inte uttryckligen behöver denna åtkomst. Det minskar risken för dataläckor, dataradering och datastöld. Det kan också minska risken för attacker eftersom IMAP-klienter kanske inte har lika bra skydd som förstapartsklienter. |
|
Inaktivera automatisk vidarebefordran Förhindra att användarna automatiskt vidarebefordrar inkommande meddelanden till en annan adress. Detta minskar risken för att data filtreras ut via vidarebefordrad e-post, vilket är en vanlig metod för angripare. |
|
Aktivera omfattande e-postlagring Omfattande e-postlagring säkerställer att en kopia av all skickad och mottagen e-post på din domän, inklusive e-post som skickats eller tagits emot av postlådor utanför Gmail, lagras i de tillhörande användarnas Gmail-postlådor. Aktivera den här inställningen för att minska risken för att data raderas och om du använder Google Arkiv för att se till att e-post lagras eller spärras Konfigurera stort lagringsutrymme för e-post | Stort lagringsutrymme för e-post och Arkiv |
|
Hoppa inte över skräppostfilter för interna avsändare Inaktivera funktionen Inaktivera skräppostfilter för interna avsändare eftersom externa adresser som läggs till i grupper behandlas som interna. Stäng av den här inställningen om du vill att alla användares e-post filtreras, inklusive e-post från interna avsändare. Detta minskar risken för identitetsförfalskning och nätfiske/whaling. |
|
Lägg till inställningen för skräppostrubriker i alla standardregler för dirigering Skräppostrubriker maximerar filtreringskapaciteten hos nedströms e-postservrar och minskar riskerna för identitetsförfalskning och nätfiske/whaling. När du ställer in standardregler för dirigering markerar du rutan Lägg till rubrikerna X-Gm-Spam och X-Gm-Phishy så att Gmail lägger till dessa rubriker för att ange meddelandets skräppost- och nätfiskestatus. Exempelvis kan en administratör på en nedströms server använda informationen för att konfigurera regler som hanterar skräppost på annat sätt än riktig e-post. |
|
Aktivera utökad meddelandeskanning före leverans När ett nätfiskemeddelande identifieras i Gmail gör denna inställning att Gmail kan utföra ytterligare kontroller på meddelandet. |
|
Aktivera varningar för externa mottagare Gmail fastställer om en extern mottagare i ett e-postmeddelande inte finns i en användares kontakter. När du konfigurerar den här inställningen får användarna en varning och ett alternativ för att avvisa. |
|
Aktivera ytterligare säkerhet för bilagor Google genomsöker inkommande meddelanden för att skydda mot skadlig programvara, även om de ytterligare inställningarna som skyddar mot skadliga bilagor inte är aktiverade. Om du aktiverar ytterligare säkerhet för bilagor kan du stoppa e-post som inte tidigare identifierades som skadliga. |
|
Aktivera ytterligare länkskydd och skydd mot externt innehåll |
|
Aktivera ytterligare skydd mot identitetsförfalskning Google genomsöker alla meddelanden för att skydda mot identitetsförfalskning, även om ytterligare inställningar för skydd mot identitetsförfalskning inte är aktiverade. Om du aktiverar ytterligare skydd mot identitetsförfalskning och autentisering kan bland annat risken för identitetsförfalskning baserat på domännamn och användarnamn som liknar dina domäner eller användare minskas. |
Säkerhetsaspekter för dagliga Gmail-uppgifter
Var försiktig när du åsidosätter skräppostfilter Undvik att få mer skräppost genom att vara genomtänkt och vara noggrann om du åsidosätter Gmails standardfilter för skräppost.
|
|
Ta inte med domäner i listan över godkända avsändare Om du har konfigurerat godkända avsändare och markerat rutan Åsidosätt skräppostfilter för meddelanden från adresser eller domäner som finns på dessa listor med godkända avsändare tar du bort domäner från listan över godkända avsändare. Om du inte tar med domäner i listan över godkända avsändare, minskar risken för spoofing och nätfiske/whaling. |
|
Lägg inte till IP-adresser på godkännandelistan E-post som skickas från godkända IP-adresser markeras i allmänhet inte som skräppost. För att tjänsten för skräppostfiltrering i Gmail ska fungera på bästa sätt och för att skräppostklassificeringen ska bli så effektiv som möjligt bör IP-adresserna till de e-postservrar som vidarebefordrar e-post till Gmail läggas till i din gateway för inkommande e-post och inte i listan över tillåtna IP-adresser. Lägg till IP-adresser på godkännandelistor i Gmail | Konfigurera en gateway för inkommande e-post |
Skydda känslig data
Skanna och blockera e-postmeddelanden med känslig data Minska risken för dataläckor genom att skanna utgående e-postmeddelanden med fördefinierade detektorer för skydd mot dataförlust för att vidta åtgärder när användare tar emot eller skickar meddelanden med känsligt innehåll. Du kan till exempel blockera användare från att skicka meddelanden som innehåller kreditkortsnummer och få en e-postvarning. |
Använd grupper som är utformade för säkerhet Se till att enbart utvalda användare kan få åtkomst till känsliga appar och resurser genom att hantera dem med säkerhetsgrupper. Detta minskar risken för dataläckage. |
|
Lägga till säkerhetsvillkor i administratörsroller Tillåt enbart vissa administratörer att styra säkerhetsgrupper. Utse andra administratörer som endast kan styra grupper som inte är säkerhetsgrupper. Detta minskar risken för dataläckor och skadliga insiderhot. |
|
Konfigurera privat åtkomst till dina grupper Välj den privata inställningen för att begränsa åtkomsten till medlemmar på din domän. (Gruppmedlemmar kan fortfarande ta emot e-post utanför domänen.) Detta minskar risken för dataläckage. |
|
Tillåt endast administratörer att skapa grupper Tillåt endast administratörer att skapa grupper. Detta minskar risken för dataläckage. |
|
Anpassa dina inställningar för gruppåtkomst Rekommendationer:
|
|
Inaktivera vissa åtkomstinställningar för interna grupper Med dessa inställningar kan alla på internet gå med i gruppen, skicka meddelanden och visa diskussionsarkiven. Inaktivera följande inställningar för interna grupper:
|
|
Aktivera skräppostmoderering för dina grupper Du kan få meddelanden skickade till modereringskön med eller utan att avisera moderatorer, omedelbart avvisa skräppost eller tillåta att meddelandena skickas utan moderering. |
Blockera delningswebbplatser utanför domänen Ange delningsalternativ för Google Sites | Ange delningsalternativ i klassiska Sites |
Behandla konton med Arkiv-behörigheter som känsliga Skydda konton som har tilldelats Arkiv-administratörsroller på samma sätt som du skyddar avancerade administratörskonton. |
|
Granska Arkiv-aktivitet regelbundet Användare med Arkiv-behörighet kan söka efter och exportera andra användares data, samt ändra lagringsregler som kan radera data permanent som du behöver behålla. Övervaka Arkiv-aktivitet för att säkerställa att enbart godkända policyer för dataåtkomst och lagring tillämpas. |
Nästa steg – övervakning, utredning och åtgärd
Granska säkerhetsinställningarna och undersök aktiviteten Besök säkerhetscentret regelbundet för att granska säkerhetsstatusen, undersöka incidenter och vidta åtgärder utifrån informationen. |
|
Kontrollera granskningsloggen för administratörer I granskningsloggen för administratörer visas historik över alla utförda uppgifter i Googles administratörskonsol, vilken administratör som utfört uppgiften, tidpunkt samt IP-adressen som administratören loggade in från. |