作为管理员,如果您怀疑某个帐号可能被盗用,请使用此安全核对清单来确保用户帐号(如被盗用或入侵的帐号)的安全。请与受影响的用户合作,共同按照最终用户 Gmail 安全核对清单完成检查。
请按照以下安全步骤操作:
第 1 步:暂时停用怀疑被盗用的用户帐号- 暂停用户以阻止未经授权的访问。
注意:暂停用户会重置用户的登录 Cookie 和 OAuth 令牌。
- 调查可能未经授权的活动并恢复帐号。您也可以考虑为网域注册两步验证 (2SV)。
- 让受影响的用户查看其辅助邮箱地址,然后按照 Gmail 安全核对清单完成检查。
- 如果帐号遭到盗用的用户是管理员,请查看“管理员审核日志”,了解相应用户最近是否更改了任何配置。如果情况不适用,则跳过此步骤。
- 查看与受影响帐号相关联的移动设备并擦除任何可疑设备。
- 调查可能未经授权的活动:
- 使用管理控制台中的用户日志事件查看您网域中过去 6 个月内成功和失败的网络登录活动的完整列表。对于可疑的登录活动,系统会使用警告图标进行标识。您也可以通过 Reports API 检索网域中帐号的登录信息。
- 使用电子邮件日志搜索功能查看网域的递送日志,并评估与可能已被盗用的帐号来往的邮件。如果帐号由保险柜管理,您可以使用电子邮件日志搜索功能查看电子邮件活动。
注意 :如果您的用户升级到包含保险柜的版本,则可以恢复被永久删除的电子邮件或文档。 - 使用安全报告评估网域面临的数据安全风险。您应该查看这些报告:
- OAuth 日志事件
- Google 网上论坛日志事件
- 云端硬盘日志事件
以下版本支持此功能:“Frontline Starter”和“Frontline Standard”;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版;Essentials Starter、Essentials、Enterprise Essentials和Enterprise Essentials Plus;G Suite 商务版。比较您的版本
- 日历日志事件
- 检查攻击者是否恶意更改了设置。您可以通过 Gmail API 检索用户帐号设置(例如转发设置)。如果您怀疑某个 consumer@gmail.com 帐号被用于入侵行为,请向我们举报。
- 按照重置用户密码中的步骤操作。
- 为用户撤消 OAuth 2.0 令牌。
- 在您重置用户密码后,某些使用 OAuth 2.0 身份验证方法的应用会停止访问数据。用户必须使用其帐号名和新密码登录以接收新的 OAuth 2.0 令牌。
- 移除用户创建过的应用专用密码。
采取更多安全步骤
我们建议您采取更多步骤,确保您用户帐号的安全性。
第 1 步:使用安全密钥注册两步验证注册两步验证可为您用户的帐号多增加一重安全保障。用户在登录帐号时不仅要输入自己的用户名和密码,还要输入验证码。有关详情,请参阅添加两步验证。我们建议使用安全密钥而不是两步验证安全代码,以更好地防范钓鱼式攻击。
请参阅为管理员帐号添加帐号恢复选项,获取关于添加辅助电子邮件地址和电话号码的说明。我们建议更改密码以保障这些辅助电子邮件地址的安全,也可将辅助电子邮件地址更新为新地址。
作为管理员,您可以选择在发生重要活动(例如,出现潜在的可疑登录或其他管理员更改了服务设置)时接收帐号活动提醒。
请访问 Google 安全中心,获取关于保障帐号安全的一般性建议。
