ผู้ดูแลระบบไอทีสำหรับธุรกิจขนาดกลางและขนาดใหญ่ควรทำตามแนวทางปฏิบัติแนะนำด้านความปลอดภัยเหล่านี้เพื่อช่วยเพิ่มความปลอดภัยและความเป็นส่วนตัวของข้อมูลบริษัท โดยสามารถใช้การตั้งค่าอย่างน้อย 1 รายการในคอนโซลผู้ดูแลระบบของ Google เพื่อนำแนวทางปฏิบัติแนะนำในรายการตรวจสอบนี้ไปใช้
หากธุรกิจของคุณไม่มีผู้ดูแลระบบไอที โปรดดูคำแนะนำที่อาจเหมาะสมกับธุรกิจของคุณในรายการตรวจสอบด้านความปลอดภัยสำหรับธุรกิจขนาดเล็ก (ผู้ใช้ 1-100 ราย)
หมายเหตุ: การตั้งค่าต่างๆ ที่อธิบายไว้ในที่นี้อาจไม่ได้มีให้บริการใน Google Workspace หรือ Cloud Identity บางรุ่น
แนวทางปฏิบัติแนะนำด้านความปลอดภัย - การตั้งค่า
ระบบจะเปิดการตั้งค่าส่วนใหญ่ที่แนะนำในรายการตรวจสอบนี้ให้โดยค่าเริ่มต้น เพื่อช่วยปกป้องธุรกิจของคุณ
เนื่องจากผู้ดูแลระบบขั้นสูงควบคุมการเข้าถึงข้อมูลทั้งหมดของธุรกิจและพนักงานในองค์กร การปกป้องบัญชีจึงเป็นสิ่งที่สำคัญอย่างยิ่ง
โปรดดูรายการคำแนะนำทั้งหมดที่หัวข้อแนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับบัญชีผู้ดูแลระบบ
บังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
|
|
กำหนดให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับผู้ใช้ การยืนยันแบบ 2 ขั้นตอนจะช่วยป้องกันบัญชีผู้ใช้จากการเข้าถึงที่ไม่ได้รับอนุญาตในกรณีที่มีผู้อื่นทราบรหัสผ่าน ปกป้องธุรกิจของคุณด้วยการยืนยันแบบ 2 ขั้นตอน | ใช้งานการยืนยันแบบ 2 ขั้นตอน |
|
|
บังคับใช้คีย์ความปลอดภัยสำหรับบัญชีผู้ดูแลระบบและบัญชีอื่นๆ ที่มีความสำคัญสูง (เป็นอย่างน้อย) คีย์ความปลอดภัยเป็นอุปกรณ์ฮาร์ดแวร์ขนาดเล็กที่ใช้ในการลงชื่อเข้าใช้ โดยให้การตรวจสอบสิทธิ์จากปัจจัยที่สองซึ่งช่วยป้องกันฟิชชิง |
ปกป้องรหัสผ่าน
|
|
ช่วยป้องกันการใช้รหัสผ่านซ้ำด้วย Password Alert ใช้ Password Alert เพื่อให้มั่นใจว่าผู้ใช้จะไม่นำรหัสผ่านของบริษัทไปใช้ในเว็บไซต์อื่น |
|
|
ใช้รหัสผ่านที่ไม่ซ้ำกัน รหัสผ่านที่ดีคือการป้องกันชั้นแรกที่จะปกป้องบัญชีผู้ใช้และผู้ดูแลระบบ ควรเป็นรหัสผ่านที่มีเอกลักษณ์ คาดเดาได้ยาก รวมทั้งไม่ควรใช้รหัสผ่านซ้ำกับบัญชีอื่น เช่น อีเมลและธนาคารออนไลน์ |
ช่วยป้องกันและแก้ไขบัญชีที่ถูกบุกรุก
|
|
ตรวจสอบรายงานกิจกรรมและการแจ้งเตือนเป็นประจำ เปิดรายงานกิจกรรมเพื่อตรวจสอบสถานะบัญชี สถานะผู้ดูแลระบบ และรายละเอียดการลงทะเบียนใช้การยืนยันแบบ 2 ขั้นตอน |
|
|
ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบ ตั้งค่าการแจ้งเตือนทางอีเมลสำหรับกิจกรรมที่อาจมีความเสี่ยง เช่น การลงชื่อเข้าใช้ที่น่าสงสัย อุปกรณ์เคลื่อนที่ที่ถูกบุกรุก หรือมีการเปลี่ยนแปลงการตั้งค่าโดยผู้ดูแลระบบรายอื่น |
|
|
เพิ่มคำถามในการเข้าสู่ระบบสำหรับผู้ใช้ กำหนดคำถามในการเข้าสู่ระบบเมื่อมีผู้น่าสงสัยพยายามเข้าสู่ระบบ ผู้ใช้ต้องป้อนรหัสยืนยันที่ Google ส่งไปยังหมายเลขโทรศัพท์หรืออีเมลสำหรับการกู้คืน หรือต้องตอบคำถามที่เจ้าของบัญชีเท่านั้นที่จะตอบได้ ยืนยันตัวตนของผู้ใช้ให้ปลอดภัยยิ่งขึ้น | เพิ่มรหัสพนักงานเป็นคำถามในการเข้าสู่ระบบ |
|
|
ค้นหาและรักษาความปลอดภัยบัญชีที่ถูกบุกรุก หากสงสัยว่าบัญชีอาจถูกบุกรุก ให้ระงับบัญชี ตรวจสอบกิจกรรมที่เป็นอันตราย และดำเนินการตามความเหมาะสม
|
|
|
ปิดการดาวน์โหลดข้อมูลใน Google ตามต้องการ หากบัญชีถูกบุกรุกหรือผู้ใช้ลาออกจากบริษัท ให้ป้องกันไม่ให้ผู้ใช้รายนั้นดาวน์โหลดข้อมูลใน Google ทั้งหมดด้วย Google Takeout |
 |
ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตหลังจากพนักงานลาออก หากต้องการป้องกันไม่ให้ข้อมูลรั่วไหล ให้เพิกถอนสิทธิ์เข้าถึงของผู้ใช้สำหรับข้อมูลขององค์กรเมื่อผู้ใช้ลาออก |
|
|
ตรวจสอบสิทธิ์เข้าถึงของแอปจากบุคคลที่สามสำหรับบริการหลัก รับทราบและอนุมัติว่าจะให้แอปของบุคคลที่สามแอปใดเข้าถึงบริการหลักของ Google Workspace ได้บ้าง เช่น Gmail และไดรฟ์ ควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง |
|
บล็อกการเข้าถึงแอปที่มีความปลอดภัยน้อย แอปที่มีความปลอดภัยน้อยจะไม่ใช้มาตรฐานความปลอดภัยสมัยใหม่ เช่น OAuth และจะเพิ่มความเสี่ยงที่บัญชีหรืออุปกรณ์จะถูกบุกรุก |
|
|
สร้างรายการแอปที่เชื่อถือได้ สร้างรายการที่อนุญาตซึ่งระบุแอปของบุคคลที่สามที่เข้าถึงบริการหลักของ Google Workspace ได้ ควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง |
|
ควบคุมการเข้าถึงบริการหลักของ Google คุณสามารถอนุญาตหรือบล็อกการเข้าถึงแอป Google เช่น Gmail, ไดรฟ์ และปฏิทินตามที่อยู่ IP, ต้นทางทางภูมิศาสตร์, นโยบายความปลอดภัย หรือระบบปฏิบัติการของอุปกรณ์ เช่น อนุญาตให้ใช้ไดรฟ์สำหรับเดสก์ท็อปได้เฉพาะในอุปกรณ์ของบริษัทในประเทศ/ภูมิภาคที่ระบุเท่านั้น |
|
เพิ่มการเข้ารหัสอีกชั้นให้กับข้อมูลแอปของผู้ใช้ หากองค์กรทำงานเกี่ยวกับทรัพย์สินทางปัญญาที่มีความละเอียดอ่อนหรือดำเนินงานในอุตสาหกรรมที่มีกฎระเบียบเคร่งครัดสูง คุณสามารถเพิ่มการเข้ารหัสฝั่งไคลเอ็นต์ลงใน Gmail, Google ไดรฟ์, Google Meet และ Google ปฏิทินได้ |
|
|
จำกัดการแชร์ปฏิทินภายนอก จำกัดการแชร์ปฏิทินภายนอกให้เห็นเฉพาะข้อมูลว่าง/ไม่ว่างเท่านั้น การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
เตือนผู้ใช้เมื่อเชิญผู้เข้าร่วมภายนอก โดยค่าเริ่มต้น ปฏิทินจะเตือนผู้ใช้เมื่อเชิญผู้เข้าร่วมภายนอก การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ ตรวจสอบว่าการแจ้งเตือนนี้เปิดใช้สำหรับผู้ใช้ทุกคน อนุญาตการเชิญบุคคลภายนอกให้มาเข้าร่วมกิจกรรมใน Google ปฏิทิน |
|
จำกัดผู้ที่มีสิทธิ์แชทภายนอก อนุญาตเฉพาะผู้ใช้ที่ต้องการส่งข้อความหรือสร้างห้องแชทกับผู้ใช้ภายนอกองค์กรเท่านั้น เพื่อป้องกันไม่ให้ผู้ใช้ภายนอกมองเห็นการสนทนาภายในก่อนหน้านั้นและลดความเสี่ยงจากข้อมูลรั่วไหล |
|
|
เตือนผู้ใช้เมื่อมีการแชทภายนอกโดเมน (Hangouts แบบคลาสสิกเท่านั้น) แสดงคำเตือนให้ผู้ใช้เห็นเมื่อแชทกับบุคคลภายนอกโดเมน เมื่อเปิดใช้การตั้งค่านี้ การสนทนากลุ่มจะถูกแยกออกเมื่อมีการเพิ่มบุคคลจากภายนอกโดเมนคนแรกเข้าสู่การสนทนา เพื่อป้องกันไม่ให้ผู้ใช้ภายนอกมองเห็นการสนทนาภายในก่อนหน้านั้นและลดความเสี่ยงจากข้อมูลรั่วไหล ใน Chat ผู้ใช้และห้องแชทภายนอกจะมีสถานะเป็น "ภายนอก" เสมอ |
|
|
กำหนดนโยบายคำเชิญเข้าร่วมการแชท กำหนดว่าผู้ใช้รายใดจะตอบรับคำเชิญเข้าร่วมการแชทได้โดยอัตโนมัติตามนโยบายการทำงานร่วมกันขององค์กร |
|
|
อัปเดตเบราว์เซอร์ Chrome และ ChromeOS อยู่เสมอ โปรดอนุญาตการอัปเดต หากต้องการให้ผู้ใช้มีแพตช์ด้านความปลอดภัยล่าสุด สำหรับเบราว์เซอร์ Chrome ให้อนุญาตการอัปเดตเสมอ โดยค่าเริ่มต้น อุปกรณ์ ChromeOS จะอัปเดต Chrome เป็นเวอร์ชันล่าสุดเมื่อพร้อมใช้งาน ตรวจสอบว่าการอัปเดตอัตโนมัติเปิดใช้สำหรับผู้ใช้อุปกรณ์ ChromeOS ทั้งหมด ตั้งค่านโยบาย Chrome สำหรับผู้ใช้หรือเบราว์เซอร์ | จัดการการอัปเดตในอุปกรณ์ ChromeOS |
|
บังคับให้เปิดอีกครั้งเพื่อใช้การอัปเดต ตั้งค่าเบราว์เซอร์ Chrome และอุปกรณ์ ChromeOS เพื่อแจ้งให้ผู้ใช้ทราบว่าต้องเปิดเบราว์เซอร์อีกครั้งหรือรีสตาร์ทอุปกรณ์เพื่อให้การอัปเดตมีผล และบังคับให้เปิดอีกครั้งหลังจากผ่านไประยะหนึ่งหากผู้ใช้ไม่ได้ดำเนินการ แจ้งให้ผู้ใช้รีสตาร์ทเพื่อใช้การอัปเดตที่รอดำเนินการ |
|
|
ตั้งค่านโยบายพื้นฐานสำหรับอุปกรณ์ ChromeOS และเบราว์เซอร์ Chrome ตั้งค่านโยบายต่อไปนี้ในคอนโซลผู้ดูแลระบบของ Google
|
|
|
ตั้งค่านโยบายเบราว์เซอร์ Chrome ขั้นสูง ตั้งค่านโยบายขั้นสูงต่อไปนี้เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต การดาวน์โหลดที่เป็นอันตราย และข้อมูลรั่วไหลระหว่างเว็บไซต์
ตั้งค่านโยบายเบราว์เซอร์ Chrome ใน PC ที่มีการจัดการ | คู่มือการกำหนดค่าความปลอดภัยของเบราว์เซอร์ Chrome สำหรับองค์กร (Windows) |
|
|
ตั้งค่านโยบายเบราว์เซอร์ในเดสก์ท็อปของ Windows หากองค์กรของคุณต้องการใช้เบราว์เซอร์ Chrome แต่ผู้ใช้ยังต้องเข้าถึงเว็บไซต์และแอปเก่าที่ต้องใช้ Internet Explorer ส่วนขยายการรองรับเบราว์เซอร์เวอร์ชันเก่าของ Chrome จะช่วยให้ผู้ใช้สลับระหว่าง Chrome และเบราว์เซอร์อื่นได้โดยอัตโนมัติ โดยให้ใช้ส่วนขยายนี้กับแอปพลิเคชันที่ต้องใช้กับเบราว์เซอร์รุ่นเดิม |
คุณสามารถปกป้องบัญชีผู้ใช้และข้อมูลงานในโทรศัพท์ แท็บเล็ต แล็ปท็อป และคอมพิวเตอร์ได้ด้วยการจัดการปลายทางของ Google
โปรดดูรายการคำแนะนำทั้งหมดที่หัวข้อรายการตรวจสอบความปลอดภัยในการจัดการอุปกรณ์
จำกัดการแชร์และการทำงานร่วมกับภายนอกโดเมน
|
|
ตั้งค่าตัวเลือกหรือสร้างกฎสำหรับการแชร์ไฟล์นอกองค์กร จำกัดการแชร์ไฟล์ภายในขอบเขตโดเมนของคุณโดยปิดตัวเลือกการแชร์หรือสร้างกฎการเชื่อถือ (ซึ่งช่วยให้คุณควบคุมการแชร์ได้ละเอียดยิ่งขึ้น) การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลและการขโมยข้อมูลได้ หากมีความจำเป็นทางธุรกิจที่จะต้องแชร์กับภายนอกองค์กร คุณสามารถกำหนดสิทธิ์การแชร์ในหน่วยขององค์กร หรือกำหนดโดเมนในรายการที่อนุญาตได้ จำกัดการแชร์ภายนอกโดเมนที่ได้รับอนุญาต | จำกัดการแชร์ภายนอกองค์กร | สร้างกฎการเชื่อถือเพื่อจำกัดการแชร์กับภายนอก |
|
เตือนผู้ใช้เมื่อแชร์ไฟล์กับภายนอกโดเมน หากคุณอนุญาตให้ผู้ใช้แชร์ไฟล์กับภายนอกโดเมน ให้เปิดใช้การแจ้งเตือนเมื่อผู้ใช้แชร์ไฟล์ วิธีนี้จะช่วยยืนยันได้ว่าผู้ใช้มีเจตนาที่จะดำเนินการเช่นนี้จริง และจะช่วยลดความเสี่ยงจากข้อมูลรั่วไหลได้ |
|
ป้องกันไม่ให้ผู้ใช้เผยแพร่ไฟล์บนเว็บ ปิดการเผยแพร่ไฟล์บนเว็บ การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
|
ตั้งค่าตัวเลือกการเข้าถึงทั่วไปสำหรับการแชร์ไฟล์ ตั้งค่าตัวเลือกการเข้าถึงเริ่มต้นสำหรับการแชร์ไฟล์เป็นจำกัด โดยเจ้าของไฟล์ควรมีสิทธิ์เข้าถึงได้เพียงคนเดียวจนกว่าตนจะแชร์ไฟล์ คุณสามารถสร้างกลุ่มการแชร์ที่กำหนดเอง (กลุ่มเป้าหมาย) สำหรับผู้ใช้ในแผนกต่างๆ ได้ด้วย |
|
|
จำกัดสิทธิ์การเข้าถึงไฟล์ให้กับผู้รับเท่านั้น เมื่อผู้ใช้แชร์ไฟล์ผ่านผลิตภัณฑ์ของ Google นอกเหนือจากเอกสารหรือไดรฟ์ (เช่น โดยการวางลิงก์ใน Gmail) เครื่องมือตรวจสอบสิทธิ์การเข้าถึงจะตรวจสอบได้ว่าผู้รับมีสิทธิ์เข้าถึงหรือไม่ กำหนดค่าเครื่องมือตรวจสอบสิทธิ์การเข้าถึงสำหรับผู้รับเท่านั้น วิธีนี้จะช่วยให้คุณควบคุมการเข้าถึงลิงก์ที่ผู้ใช้แชร์ และลดความเสี่ยงจากข้อมูลรั่วไหลได้ |
|
ป้องกันหรือจำกัดความเสี่ยงที่ผู้ใช้ภายนอกสามารถดูการเป็นสมาชิกกลุ่มขององค์กร หากต้องการป้องกันไม่ให้ผู้ใช้ในองค์กรอื่นที่ใช้ Google Workspace เห็นการเป็นสมาชิกกลุ่มขององค์กร โปรดอย่าอนุญาตให้องค์กรภายนอกแชร์ไฟล์กับผู้ใช้ของคุณ หรือหากต้องการจำกัดความเสี่ยงประเภทนี้ ให้อนุญาตการแชร์ภายนอกกับโดเมนในรายการที่อนุญาตเท่านั้น หากคุณใช้การตั้งค่าการแชร์ของ Google ไดรฟ์: ทำตามข้อใดข้อหนึ่งต่อไปนี้สำหรับแต่ละหน่วยขององค์กรที่ต้องการปกป้องจากความเสี่ยงนี้
โปรดดูรายละเอียดที่หัวข้อจัดการการแชร์ภายนอกสำหรับองค์กร หากคุณใช้กฎการเชื่อถือสำหรับการแชร์ไดรฟ์: หากต้องการจำกัดความเสี่ยงนี้ ให้สร้างกฎการเชื่อถือโดยใช้การตั้งค่าต่อไปนี้ก่อน
โปรดดูรายละเอียดที่หัวข้อสร้างกฎการเชื่อถือ จากนั้น ปิดใช้งานกฎเริ่มต้นชื่อ [Default] ผู้ใช้ในองค์กรสามารถแชร์พร้อมแสดงคำเตือนและรับรายการได้จากทุกคน โปรดดูรายละเอียดที่หัวข้อดูหรือแก้ไขรายละเอียดกฎการเชื่อถือ |
|
|
ผู้ทำงานร่วมกันจากภายนอกต้องใช้ Google Sign-In กำหนดให้ผู้ทำงานร่วมกันภายนอกต้องลงชื่อเข้าใช้ด้วยบัญชี Google โดยสร้างบัญชีขึ้นใหม่ได้แบบไม่มีค่าใช้จ่ายในกรณีที่ยังไม่มีบัญชี การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
|
จำกัดผู้ที่ย้ายเนื้อหาจากไดรฟ์ที่แชร์ได้ อนุญาตให้เฉพาะผู้ใช้ในองค์กรย้ายไฟล์จากไดรฟ์ที่แชร์ของตนไปยังตำแหน่งของไดรฟ์ที่อยู่ในองค์กรอื่น |
|
|
ควบคุมการแชร์เนื้อหาในไดรฟ์ที่แชร์ใหม่ จำกัดผู้ที่มีสิทธิ์สร้างไดรฟ์ที่แชร์ เข้าถึงเนื้อหา หรือเปลี่ยนการตั้งค่าสำหรับไดรฟ์ที่แชร์ใหม่ |
จำกัดจำนวนสำเนาของข้อมูลในไดรฟ์
|
|
ปิดใช้งานการเข้าถึงเอกสารแบบออฟไลน์ เราขอแนะนำให้ปิดใช้งานการเข้าถึงเอกสารแบบออฟไลน์เพื่อลดความเสี่ยงจากข้อมูลรั่วไหล เมื่ออนุญาตให้เข้าถึงเอกสารแบบออฟไลน์ได้ สำเนาของเอกสารจะจัดเก็บไว้ในเครื่อง หากมีความจำเป็นทางธุรกิจที่ต้องเปิดใช้การเข้าถึงเอกสารแบบออฟไลน์ ให้เปิดใช้งานฟีเจอร์นี้เฉพาะหน่วยขององค์กรที่ต้องใช้เท่านั้นเพื่อลดความเสี่ยง |
|
|
ปิดการเข้าถึงไดรฟ์จากเดสก์ท็อป ผู้ใช้จะเข้าถึงไดรฟ์จากเดสก์ท็อปได้โดยใช้ Google ไดรฟ์สำหรับเดสก์ท็อป เราขอแนะนำให้ปิดการเข้าถึงไดรฟ์จากเดสก์ท็อปเพื่อลดความเสี่ยงจากข้อมูลรั่วไหล หากเลือกที่จะเปิดใช้งานการเข้าถึงจากเดสก์ท็อป โปรดเปิดให้เฉพาะผู้ใช้ที่มีความจำเป็นทางธุรกิจจริงเท่านั้น |
ควบคุมสิทธิ์การเข้าถึงข้อมูลของแอปจากบุคคลที่สาม
|
|
ไม่อนุญาตให้ใช้ส่วนเสริมของ Google เอกสาร เพื่อลดความเสี่ยงในการเกิดข้อมูลรั่วไหล ไม่ควรอนุญาตให้ผู้ใช้ติดตั้งส่วนเสริมสำหรับ Google เอกสารจากสโตร์ของส่วนเสริม หากต้องการรองรับความต้องการทางธุรกิจบางประการ คุณก็นำส่วนเสริมที่ต้องการสำหรับ Google เอกสารที่สอดคล้องกับนโยบายขององค์กรไปใช้งานได้ |
ปกป้องข้อมูลที่ละเอียดอ่อน
|
บล็อกหรือเตือนเกี่ยวกับการแชร์ไฟล์ซึ่งมีข้อมูลที่ละเอียดอ่อน ตั้งกฎการป้องกันข้อมูลรั่วไหลเพื่อสแกนไฟล์หาข้อมูลที่ละเอียดอ่อน และดำเนินการเมื่อผู้ใช้พยายามแชร์ไฟล์ที่ตรงกันกับภายนอก เพื่อลดความเสี่ยงจากข้อมูลรั่วไหล เช่น บล็อกไม่ให้แชร์เอกสารภายนอกที่มีหมายเลขหนังสือเดินทางและรับการแจ้งเตือนทางอีเมล |
ตั้งค่าการตรวจสอบสิทธิ์และโครงสร้างพื้นฐาน
|
|
ตรวจสอบสิทธิ์อีเมลด้วย SPF, DKIM และ DMARC SPF, DKIM และ DMARC จะสร้างระบบตรวจสอบอีเมลที่ใช้การตั้งค่า DNS เพื่อตรวจสอบสิทธิ์ ป้อนลายเซ็นดิจิทัล และช่วยป้องกันการปลอมแปลงโดเมน ผู้โจมตีอาจปลอมแปลงที่อยู่ในช่อง "จาก" ของข้อความอีเมลเพื่อให้ดูเหมือนว่าส่งมาจากผู้ใช้ในโดเมน โปรดกำหนดค่า SPF และ DKIM ในสตรีมอีเมลขาออกทั้งหมดเพื่อป้องกันปัญหานี้ เมื่อเริ่มใช้ SPF และ DKIM แล้ว คุณก็จะตั้งค่าเรคคอร์ด DMARC เพื่อกำหนดวิธีการที่ Google และผู้รับรายอื่นจะจัดการกับอีเมลที่ไม่ผ่านการตรวจสอบซึ่งอ้างว่ามาจากโดเมนของคุณได้ ป้องกันสแปม การปลอมแปลง และฟิชชิงด้วยการตรวจสอบสิทธิ์ของ Gmail |
|
|
ตั้งค่าเกตเวย์อีเมลขาเข้าเพื่อใช้งานร่วมกับ SPF SPF ช่วยป้องกันไม่ให้ข้อความขาออกส่งไปยังโฟลเดอร์จดหมายขยะ แต่เกตเวย์อาจส่งผลต่อการทำงานของ SPF ได้ หากคุณใช้เกตเวย์อีเมลเพื่อกำหนดเส้นทางอีเมลขาเข้า โปรดตรวจสอบเพื่อกำหนดค่าที่เหมาะสมสำหรับ Sender Policy Framework (SPF) |
|
|
บังคับใช้ TLS กับโดเมนพาร์ทเนอร์ กำหนดค่า TLS ให้ใช้การเชื่อมต่อที่ปลอดภัยสำหรับอีเมลที่ส่งหา (หรือได้รับจาก) โดเมนพาร์ทเนอร์ |
|
|
กำหนดให้ตรวจสอบสิทธิ์ผู้ส่งที่ได้รับอนุมัติทั้งหมด เมื่อคุณสร้างรายการที่อยู่ของผู้ส่งที่ได้รับอนุมัติซึ่งข้ามการจัดประเภทจดหมายขยะได้ จะต้องมีการตรวจสอบสิทธิ์ เมื่อปิดการตรวจสอบสิทธิ์ผู้ส่ง Gmail จะไม่สามารถยืนยันได้ว่าข้อความนั้นส่งมาจากบุคคลที่ดูเหมือนจะเป็นผู้ส่งหรือไม่ การมีการตรวจสอบสิทธิ์จะช่วยลดความเสี่ยงจากการปลอมแปลงและฟิชชิง/เวลลิงได้ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการตรวจสอบสิทธิ์ผู้ส่ง |
|
|
กำหนดค่าระเบียน MX เพื่อให้เส้นทางการรับส่งอีเมลถูกต้อง กำหนดค่าระเบียน MX ให้ชี้ไปยังเซิร์ฟเวอร์อีเมลของ Google ว่าเป็นระเบียนลำดับความสำคัญสูงสุด เพื่อให้ผู้ใช้ในโดเมน Google Workspace รับส่งอีเมลอย่างถูกต้อง การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดการลบข้อมูล (เมื่ออีเมลสูญหาย) และภัยคุกคามจากมัลแวร์ได้ ตั้งค่าระเบียน MX สำหรับ Gmail ของ Google Workspace | ค่าระเบียน MX ของ Google Workspace |
ปกป้องผู้ใช้และองค์กร
|
|
ปิดการเข้าถึง IMAP/POP ไคลเอ็นต์ทางเดสก์ท็อปที่ใช้ IMAP และ POP ช่วยให้ผู้ใช้เข้าถึง Gmail ผ่านโปรแกรมรับส่งอีเมลของบุคคลที่สามได้ โปรดปิดการเข้าถึง POP และ IMAP หากผู้ใช้ไม่มีความจำเป็นต้องใช้งานจริงๆ การดำเนินการนี้จะช่วยลดความเสี่ยงจากข้อมูลรั่วไหล การลบข้อมูล และการขโมยข้อมูลได้ นอกจากนี้ยังช่วยลดภัยคุกคามจากการโจมตีซึ่งเกิดจากการที่ไคลเอ็นต์ IMAP อาจมีการป้องกันที่ต่างจากไคลเอ็นต์ขององค์กรหรือผู้ใช้เอง |
|
|
ปิดใช้การส่งต่ออัตโนมัติ ป้องกันไม่ให้ผู้ใช้ส่งต่ออีเมลที่ได้รับไปยังที่อยู่อื่นโดยอัตโนมัติ การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดการขโมยข้อมูลผ่านการส่งต่ออีเมลซึ่งเป็นเทคนิคที่ผู้โจมตีมักใช้กัน |
|
|
เปิดใช้พื้นที่เก็บข้อมูลอีเมลแบบครอบคลุม พื้นที่เก็บข้อมูลอีเมลแบบครอบคลุมจะทำให้มั่นใจว่าสำเนาอีเมลที่ส่งและได้รับทั้งหมดในโดเมนของคุณ รวมถึงอีเมลที่ส่งหรือได้รับทางกล่องจดหมายที่ไม่ใช่ของ Gmail จะเก็บไว้ในกล่องจดหมาย Gmail ของผู้ใช้ที่เกี่ยวข้อง เปิดใช้การตั้งค่านี้เพื่อลดความเสี่ยงจากการลบข้อมูลและหากคุณใช้ Google ห้องนิรภัย โปรดตรวจสอบว่าระบบเก็บรักษาหรือคงอีเมลไว้ชั่วคราว ตั้งค่าพื้นที่เก็บข้อมูลอีเมลแบบครอบคลุม | พื้นที่เก็บข้อมูลอีเมลแบบครอบคลุมและห้องนิรภัย |
|
|
ไม่ข้ามตัวกรองจดหมายขยะสำหรับผู้ส่งภายใน ปิดการข้ามตัวกรองจดหมายขยะสำหรับผู้ส่งภายใน เพราะเมื่อเพิ่มอีเมลภายนอกใดๆ ไปยังกลุ่ม ระบบจะถือว่าอีเมลนั้นเป็นอีเมลภายใน เมื่อปิดการตั้งค่านี้ อีเมลของผู้ใช้ทั้งหมด รวมถึงอีเมลจากผู้ส่งภายในจะได้รับการกรองจดหมายขยะ การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดการปลอมแปลงและฟิชชิง/เวลลิงได้ |
|
|
เพิ่มการตั้งค่าส่วนหัวจดหมายขยะลงในกฎการกำหนดเส้นทางเริ่มต้นทั้งหมด ส่วนหัวจดหมายขยะจะช่วยเพิ่มความสามารถในการกรองข้อมูลของเซิร์ฟเวอร์อีเมลดาวน์สตรีม และลดความเสี่ยงในการปลอมแปลงและฟิชชิง/เวลลิง เมื่อตั้งค่ากฎการกำหนดเส้นทางเริ่มต้น ให้เลือกช่องเพิ่มส่วนหัว X-Gm-Spam และ X-Gm-Phishy เพื่อให้ Gmail เพิ่มส่วนหัวเหล่านี้เพื่อระบุสถานะจดหมายขยะและฟิชชิงของอีเมล เช่น ผู้ดูแลระบบในเซิร์ฟเวอร์ดาวน์สตรีมจะใช้ข้อมูลนี้เพื่อตั้งกฎที่จะจัดการกับจดหมายขยะและฟิชชิงต่างจากอีเมลปกติได้ |
|
|
เปิดใช้การสแกนข้อความแบบพิเศษก่อนนำส่ง เมื่อ Gmail ระบุว่าข้อความอีเมลอาจเป็นฟิชชิง การตั้งค่านี้จะทำให้ Gmail ตรวจสอบข้อความเพิ่มเติมได้ |
|
|
เปิดใช้งานคำเตือนจากผู้รับภายนอก Gmail จะตรวจพบหากผู้รับภายนอกซึ่งเป็นผู้ที่ตอบกลับอีเมลไม่ใช่บุคคลที่ผู้ใช้ติดต่อด้วยเป็นประจำ หรือไม่ได้อยู่ในรายชื่อติดต่อของผู้ใช้ เมื่อกำหนดการตั้งค่านี้ ผู้ใช้จะได้รับการแจ้งเตือนและตัวเลือกเพื่อปิดการแจ้งเตือน |
|
|
เปิดใช้การป้องกันเพิ่มเติมสำหรับไฟล์แนบ Google จะสแกนข้อความขาเข้าเพื่อป้องกันมัลแวร์ แม้ว่าจะไม่ได้เปิดการตั้งค่าเพิ่มเติมสำหรับการป้องกันไฟล์แนบที่เป็นอันตรายไว้ก็ตาม การเปิดการป้องกันเพิ่มเติมสำหรับไฟล์แนบจะตรวจจับอีเมลที่ก่อนหน้านี้ไม่พบว่าเป็นอันตรายได้ |
|
|
เปิดใช้การป้องกันเพิ่มเติมสำหรับลิงก์และเนื้อหาภายนอก |
|
|
เปิดใช้การป้องกันเพิ่มเติมสำหรับการปลอมแปลง Google จะสแกนข้อความขาเข้าเพื่อป้องกันการปลอมแปลง แม้ว่าจะไม่ได้เปิดการตั้งค่าเพิ่มเติมสำหรับการป้องกันการปลอมแปลงไว้ก็ตาม เช่น การเปิดการป้องกันเพิ่มเติมสำหรับการตรวจสอบสิทธิ์และการปลอมแปลงจะลดความเสี่ยงจากการปลอมแปลงโดยใช้ชื่อโดเมนหรือชื่อพนักงานที่คล้ายกันได้ |
คำแนะนำด้านความปลอดภัยสำหรับงานประจำวันของ Gmail
|
|
ใช้ความระมัดระวังเมื่อลบล้างตัวกรองจดหมายขยะ หากไม่ต้องการให้จำนวนจดหมายขยะเพิ่มขึ้น โปรดคิดอย่างรอบคอบและระมัดระวังหากคุณลบล้างตัวกรองจดหมายขยะตามค่าเริ่มต้นของ Gmail
|
|
|
ไม่รวมโดเมนไว้ในรายการผู้ส่งที่ได้รับอนุมัติ หากคุณกำหนดค่าผู้ส่งที่ได้รับอนุมัติและเลือกช่องข้ามตัวกรองจดหมายขยะสำหรับข้อความที่ได้รับจากอีเมลหรือโดเมนภายในรายการผู้ส่งที่ได้รับอนุมัติไว้ ให้นำโดเมนออกจากรายการผู้ส่งที่ได้รับอนุมัติ การนำโดเมนออกจากรายการผู้ส่งที่ได้รับอนุมัติจะช่วยลดความเสี่ยงจากการปลอมแปลงและฟิชชิง/เวลลิงได้ |
|
|
ไม่เพิ่มที่อยู่ IP ลงในรายการที่อนุญาต โดยทั่วไปแล้ว ระบบจะไม่ทำเครื่องหมายอีเมลที่ส่งจากที่อยู่ IP ที่อยู่ในรายการที่อนุญาตว่าเป็นจดหมายขยะ หากต้องการใช้ประโยชน์สูงสุดจากบริการกรองจดหมายขยะของ Gmail และเพื่อให้ได้ผลการคัดกรองจดหมายขยะที่ดีที่สุด คุณควรเพิ่มที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของตนเองและพาร์ทเนอร์ที่ใช้ส่งต่ออีเมลไปยัง Gmail ไว้ที่เกตเวย์อีเมลขาเข้า ไม่ใช่ในรายการ IP ที่อนุญาต เพิ่มที่อยู่ IP ลงในรายการที่อนุญาตของ Gmail | ตั้งค่าเกตเวย์อีเมลขาเข้า |
ปกป้องข้อมูลที่ละเอียดอ่อน
|
สแกนและบล็อกอีเมลที่มีข้อมูลที่ละเอียดอ่อน สแกนอีเมลขาออกด้วยตัวตรวจจับการป้องกันข้อมูลรั่วไหลที่กำหนดไว้ล่วงหน้าเพื่อดำเนินการเมื่อผู้ใช้ส่งหรือรับอีเมลซึ่งมีเนื้อหาที่ละเอียดอ่อน เพื่อลดความเสี่ยงจากข้อมูลรั่วไหล เช่น บล็อกไม่ให้ผู้ใช้ส่งอีเมลที่มีหมายเลขบัตรเครดิตและรับการแจ้งเตือนทางอีเมล |
|
ใช้กลุ่มที่ออกแบบมาเพื่อความปลอดภัย ตรวจสอบให้แน่ใจว่ามีเพียงผู้ใช้ที่เลือกเท่านั้นที่สามารถเข้าถึงแอปและทรัพยากรที่มีความละเอียดอ่อนได้ โดยการจัดการผู้ใช้กับกลุ่มความปลอดภัย การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
เพิ่มเงื่อนไขความปลอดภัยในบทบาทผู้ดูแลระบบ อนุญาตให้ผู้ดูแลระบบบางรายควบคุมกลุ่มความปลอดภัยได้ กำหนดผู้ดูแลระบบรายอื่นที่ควบคุมได้เฉพาะกลุ่มที่ไม่ใช่กลุ่มความปลอดภัยเท่านั้น การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลและภัยคุกคามจากบุคคลภายในที่ไม่หวังดีได้ |
|
|
ตั้งค่าสิทธิ์เข้าถึงกลุ่มของคุณให้เป็นแบบส่วนตัว เลือกการตั้งค่าส่วนตัวเพื่อจำกัดการเข้าถึงให้เฉพาะสมาชิกในโดเมนเท่านั้น (สมาชิกในกลุ่มจะยังคงรับอีเมลจากภายนอกโดเมนได้) การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
|
จำกัดให้ผู้ดูแลระบบเป็นผู้สร้างกลุ่ม อนุญาตให้เฉพาะผู้ดูแลระบบเท่านั้นที่จะสร้างกลุ่มได้ การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
|
ปรับแต่งค่าการเข้าถึงกลุ่ม คำแนะนำ
|
|
|
ปิดการตั้งค่าการเข้าถึงบางส่วนสำหรับกลุ่มภายใน การตั้งค่าต่อไปนี้จะอนุญาตให้ทุกคนในอินเทอร์เน็ตเข้าร่วมกลุ่ม ส่งข้อความ และดูการสนทนาที่เก็บไว้ได้ โปรดปิดการตั้งค่าต่อไปนี้สำหรับกลุ่มภายใน
|
|
|
เปิดใช้การดูแลสแปมสำหรับกลุ่ม คุณจะส่งข้อความไปยังคิวการกลั่นกรองโดยแจ้งหรือไม่แจ้งผู้กลั่นกรองก็ได้ ปฏิเสธข้อความจดหมายขยะในทันที หรืออนุญาตให้โพสต์ข้อความโดยไม่ต้องกลั่นกรอง |
|
|
บล็อกการแชร์เว็บไซต์กับภายนอกโดเมน ตั้งค่าตัวเลือกการแชร์ Google Sites | ตั้งค่าตัวเลือกการแชร์: Sites แบบคลาสสิก |
|
|
ใช้ความระมัดระวังในการจัดการบัญชีที่มีสิทธิ์ของห้องนิรภัย ปกป้องบัญชีที่กำหนดไว้สำหรับบทบาทผู้ดูแลระบบห้องนิรภัยด้วยวิธีเดียวกับที่คุณปกป้องบัญชีผู้ดูแลระบบขั้นสูง |
|
|
ตรวจสอบกิจกรรมในห้องนิรภัยอย่างสม่ำเสมอ ผู้ใช้ที่มีสิทธิ์ของห้องนิรภัยจะค้นหาและส่งออกข้อมูลผู้ใช้รายอื่น รวมทั้งเปลี่ยนกฎการเก็บรักษาที่ลบข้อมูลที่ต้องการเก็บไว้ออกอย่างถาวรได้ ตรวจสอบกิจกรรมในห้องนิรภัยเพื่อให้มั่นใจว่ามีเพียงนโยบายการเข้าถึงข้อมูลและนโยบายการเก็บรักษาที่ได้รับอนุมัติเท่านั้น |
ขั้นตอนถัดไป - การติดตามผล การตรวจสอบ และการแก้ไข
|
|
ตรวจดูการตั้งค่าความปลอดภัยและตรวจสอบกิจกรรม ไปที่ศูนย์ความปลอดภัยเป็นประจำเพื่อตรวจดูระดับความปลอดภัย ตรวจสอบเหตุการณ์ และดำเนินการโดยอิงจากข้อมูลดังกล่าว |
|
|
ตรวจดูบันทึกการตรวจสอบของผู้ดูแลระบบ ใช้บันทึกการตรวจสอบของผู้ดูแลระบบเพื่อดูประวัติของงานทั้งหมดที่ดำเนินการในคอนโซลผู้ดูแลระบบของ Google ว่าผู้ดูแลระบบรายใดเป็นผู้ปฏิบัติ วันที่ และที่อยู่ IP ที่ผู้ดูแลระบบลงชื่อเข้าใช้ |
