Identifiera och skydda konton som utsatts för intrång

1. Förhindra obehörig åtkomst genom att stänga av användaren.

   Obs! Om du stänger av en användare återställs användarens cookies för inloggning och OAuth-token.

2. Undersök den eventuellt otillåtna aktiviteten och återställ kontot. Du kan även överväga att registrera domänen med tvåstegsverfiering.
3. Be den drabbade användaren att kolla sin återställningsadress och följa checklistan för säkerhet i Gmail.

1. Om användaren som har drabbats av intrång är administratör går du igenom administratörens granskningsloggar och söker efter konfigurationsändringar som användaren nyligen gjort. Hoppa över det här steget om det inte är tillämpligt:
2. Gå igenom alla mobila enheter som är kopplade till det drabbade kontot och rensa alla som verkar misstänkta.
3. Undersök all potentiellt obehörig aktivitet:
   1. Använd Logghändelser för användare i administratörskonsolen för att visa en fullständig lista över slutförda och ej slutförda webbaserade inloggningar på domänen i upp till sex månader. Misstänkta inloggningar flaggas med en varningsikon. Du kan också hämta inloggningar för domänkonton via API för rapportering.
   2. Med hjälp av e-postloggsökningen kan du granska domänernas leveransloggar och kontrollera meddelandeöverföringen till och från de konton som kan ha drabbats. Om kontot hanteras via Arkiv kan du använda funktionen för att söka i e-postloggar för att granska e-postaktiviteten.
      Obs! Om användarna uppgraderar till en utgåva som innehåller Arkiv, kan de återställa permanent raderade e-postmeddelanden eller dokument.
   3. Med hjälp av säkerhetsrapporten kan du bedöma om domänen är utsatt för datasäkerhetsrisker. Du ska granska de här rapporterna:
      • Logghändelser för OAuth
      • Logghändelser för Grupper
      • Logghändelser för Drive 

        Utgåvor som stöds för den här funktionen: Frontline Starter och Frontline Standard; Business Starter, Business Standard och Business Plus, Enterprise Standard och Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade och Education Plus, Essentials Starter, Essentials, Enterprise Essentials och Enterprise Essentials Plus, G Suite Business.  Jämför utgåvor

      • Logghändelser för Kalender
   4. Kontrollera om skadliga inställningar har skapats. Du kan hämta inställningarna för användarkontot (exempelvis inställningar och filter för vidarebefordran) via Gmail API. Om du misstänker att ett konsumentkonto på @gmail.com användes vid intrånget anmäler du kontot.

1. Följ stegen i Återställa en användares lösenord.
2. Återkalla OAuth-token för användaren. 
3. En del appar som använder OAuth2-autentisering får inte längre tillgång till data när användarens lösenord har återställts. Användaren måste logga in med sitt kontonamn och det nya lösenordet för att få en ny OAuth2-token.
4. Ta bort applösenord som har skapats av användaren.

1. Häv avstängningen av kontot.
2. Informera användarna om deras nya tillfälliga lösenord och be dem att välja nya, unika lösenord (inga lösenord som används på andra webbplatser eller appar).
3. Aktivera tvåstegsverifiering för domänen och registrera användare med säkerhetsnycklar (rekommenderas i stället för 2SV-koder).
4. Gå igenom checklistan för säkerhet i Gmail för slutanvändare tillsammans med de berörda användarna. Kontrollera exempelvis att slutanvändarnas filter och alternativ för vidarebefordran är korrekt konfigurerade.
   1. Uppdatera återställningsalternativen för kontot.
   2. Leta efter ovanlig aktivitet på kontot.
   3. Leta efter saknade eller misstänkta meddelanden.
   4. Leta efter fel bland kontakterna.
   5. Kontrollera inställningarna för Gmail. 

Med tvåstegsverifiering läggs en extra säkerhetsnivå till för användarnas konton. Förutom användarnamn och lösenord måste användarna också ange en verifieringskod när de loggar in på sina konton. Mer information finns i Lägg till tvåstegsverifiering. Vi rekommenderar att du använder säkerhetsnycklar i stället för 2SV-säkerhetskoder eftersom det ger bättre skydd mot nätfiske.

Mer information om hur du lägger till sekundära e-postadresser och telefonnummer finns i Lägg till återställningsalternativ på administratörskontot. Vi rekommenderar att du skyddar de sekundära e-postadresserna genom att ändra lösenorden eller uppdatera den sekundära e-posten till en ny adress.

Administratörer kan välja att ta emot varningar om kontoaktivitet när viktiga händelser sker, t.ex. potentiellt misstänkta inloggningar eller ändringar av tjänstinställningar som gjorts av andra administratörer.

Besök Googles säkerhetscenter där du hittar allmänna rekommendationer om hur du skyddar kontot.