يُرجى اتِّباع أفضل الممارسات هذه لتحسين أمان حسابات المشرفين، وبالتالي تحسين نشاطك التجاري ككل.
للتعرُّف على المزيد من أفضل ممارسات الأمان، يُرجى الاطِّلاع على قوائم التحقُّق من الأمان.
حماية حسابات المشرفين
طلب استخدام ميزة "التحقّق بخطوتين" لحسابات المشرف إذا تمكَّن أحد المستخدمين من الحصول على كلمة مرور المشرف، تساعد ميزة "التحقُّق بخطوتين (2SV)" على حماية الحساب من الدخول غير المصرح به. وعلى المشرفين المُتميِّزين بشكلٍ خاص استخدام "التحقُّق بخطوتين (2SV)" لأن حساباتهم تتحكَّم في الوصول لجميع بيانات الأنشطة التجارية والموظفين في المؤسسة. |
|
استخدام مفاتيح الأمان "للتحقُّق بخطوتين" توجد طرق عديدة "للتحقُّق بخطوتين (2SV)"، بما في ذلك مفاتيح الأمان و"رسالة مطالبة من Google" وGoogle Authenticator والرموز الاحتياطية. ومفاتيح الأمان هي أجهزة صغيرة تُستخدم لعامل المصادقة الثاني. وتساعد على التصدي لتهديدات التصيُّد الاحتيالي وهي الوسيلة الأكثر أمانًا من وسائل "التحقُّق بخطوتين (2SV)". حماية نشاطك التجاري باستخدام ميزة "التحقُّق بخطوتين" - مفاتيح الأمان |
|
عدم مشاركة حسابات المشرفين بين المستخدمين امنَح كل مشرف حساب مشرف يكشف عن هويته. بخلاف ذلك، في حال استخدم العديد من المستخدمين حساب المشرف نفسه لتسجيل الدخول إلى "وحدة تحكُّم المشرف"، مثل admin@example.com، لن تتمكَّن من تحديد المشرف المسؤول عن أنشطة معيَّنة في سجل التدقيق. |
|
الحماية من الهجمات المُوجَّهة يمكنك تطبيق العديد من الاقتراحات الواردة في هذه المقالة دُفعة واحدة من خلال تسجيل حسابات المشرفين المتميِّزين والحسابات الحسّاسة الأخرى في "برنامج الحماية المتقدِّمة". |
إدارة حسابات المشرفين المتميِّزين
ضبط حسابات متعددة للمشرفين المتميِّزين يجب أن يكون للمؤسسة أكثر من حساب مشرف متميِّز، وأن يدير كل حساب فرد منفصل (تجنب مشاركة حساب المشرف). وفي حال فقدان حساب واحد أو اختراقه، يمكن لمشرف متميِّز آخر أداء المهام بالغة الأهمية إلى يتم استرداد الحساب الآخر. |
|
عدم استخدام حساب المشرف المتميِّز للأنشطة اليومية امنَح كل مشرف متميِّز حسابين: حساب المشرف المتميز التابع له، وحساب منفصل للأنشطة اليومية. ويجب ألا يسجل المستخدمون الدخول إلى حساب المشرف المتميِّز إلا لتنفيذ مهام المشرف المتميِّز، مثل ضبط ميزة "التحقُّق بخطوتين (2SV)" أو إدارة الفوترة وتراخيص المستخدمين أو مساعدة مشرف آخر في استرداد حسابه. على المشرفين المتميِّزين استخدام حساب منفصل غير تابع للمشرف لتنفيذ للأنشطة اليومية. على سبيل المثال، في حال كان جمال ومريم مشرفين متميِّزين، يجب أن يكون لديهما حساب مُشرِّف يكشف عن هويتهما وحساب مستخدم، كما يلي:
|
|
ضمان تلقّي إشعارات المشرف المهمة إذا كنت لا تسجِّل الدخول عادةً باستخدام حساب المشرف الأساسي، قد تفوتك إشعارات هامة إلزامية عن الخدمة من Google. لضمان تلقي هذه الإشعارات، عليك ضبط جهة اتصال بريد إلكتروني ثانوية ليتم إرسال هذه الإشعارات إلى حساب تستخدمه بانتظام. |
|
عدم البقاء مسجِّلاً الدخول إلى حساب المشرف المتميِّز يمكن أن يزيد الاحتفاظ بتسجيل الدخول إلى حساب المشرف المتميِّز عندما لا تؤدي مهام إدارية مُحدَّدة من خطر التعرض إلى هجمات التصيُّد الاحتيالي. وعلى المشرفين المتميِّزين تسجيل الدخول عند الحاجة إلى تنفيذ مهام مُحدَّدة وتسجيل الخروج بعد ذلك. |
|
استخدام حسابات المشرفين غير المتميِّزين لتنفيذ مهام المشرف اليومية لا تستخدم حساب المشرف المتميِّز إلا عند الحاجة. يمكنك تفويض مهام المشرف إلى حسابات المستخدمين بأدوار مشرف محدودة. ويُفضّل استخدام منهج أقل امتياز، حيث يمكن لكل مستخدم الوصول إلى الموارد والأدوات التي يحتاجها لتنفيذ مهامه المعتادة. يمكنك مثلاً منح مشرف إذن لإنشاء حسابات المستخدمين وإذن لإعادة ضبط كلمات المرور، بدون السماح له بحذف حسابات المستخدمين. |
مراقبة النشاط في حسابات المشرفين
إعداد تنبيهات البريد الإلكتروني للمشرف يمكن مراقبة نشاط المشرف وتتبُّع المخاطر الأمنية المُحتمَلة من خلال إعداد تنبيهات البريد الإلكتروني للمشرف لأحداث معيَّنة، مثل محاولات تسجيل الدخول المريبة أو تعرُّض أجهزة جوَّالة للاختراق أو إجراء مشرف آخر لتغييرات. عند تفعيل تنبيه لنشاط، ستتلقَّى رسالة إلكترونية في كل مرة يحدث فيها هذا النشاط. |
|
مراجعة سجلِّ تدقيق المشرف يمكنك استخدام سجلِّ تدقيق المشرف للاطلاع على سجل لكل مهمة تم تنفيذها ضمن "وحدة تحكُّم المشرف في Google" وكذلك المشرف الذي نفَّذ المهمة وتاريخها وعنوان IP الذي سجل المشرف الدخول به. يظهر النشاط من المشرف المتميِّز في عمود وصف الحدث بالشكل _SEED_ADMIN_ROLE، متبوعًا باسم المستخدم. |
الاستعداد لاسترداد حساب المشرف
إضافة خيارات الاسترداد إلى حسابات المشرف على المشرفين إضافة خيارات استرداد الحساب لحساب المشرف. في حال نسيان مشرف لكلمة مروره، يمكنه النقر على الرابط هل تحتاج إلى مساعدة؟ في صفحة تسجيل الدخول، وسترسل Google كلمة مرور جديدة عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني. ولإجراء ذلك، تحتاج Google إلى رقم الهاتف المخصّص لاسترداد الحساب وعنوان البريد الإلكتروني للحساب. |
|
الاحتفاظ بالمعلومات في مكان يسهل الوصول إليه لإعادة ضبط كلمة المرور في حال لم يتمكَّن مشرف متميِّز من إعادة ضبط كلمة مروره باستخدام خيارات استرداد الحساب عبر الهاتف أو البريد الإلكتروني، ولم يكن هناك مشرف متميِّز آخر متاح لإعادة ضبط كلمة المرور، يمكنه استخدام معالج الاسترداد. لإثبات الهوية، تطرح Google الأسئلة التالية حول حساب المؤسسة:
تطلب Google أيضًا من المشرف إثبات ملكية نظام أسماء النطاقات للنطاق، لذا يجب أن تتوفر لدى المشرف بيانات الاعتماد لتعديل إعدادات نظام أسماء النطاقات للنطاق باستخدام جهة التسجيل. إعادة ضبط كلمة مرور المشرف، في حال عدم توفُّر خياري البريد الإلكتروني والهاتف |
|
تسجيل مفتاح أمان احتياطي على المشرفين تسجيل أكثر من مفتاح أمان لحساب المشرف وتخزينها في مكان آمن. وفي حال فقدان مفتاح الأمان الأساسي أو سرقته، سيظل بإمكانهم تسجيل الدخول إلى حساباتهم. |
|
حفظ الرموز الاحتياطية مسبقًا في حال فقد مشرف هاتفًا أو مفتاح الأمان (حيث يتلقى رمز التحقُّق "التحقُّق بخطوتين (2SV)" أو "رسالة مطالبة من Google")، يمكنه استخدام رمز احتياطي لتسجيل الدخول. على المشرفين إنشاء رموز احتياطية وطبعها لاستخدامها عند الحاجة. وعليهم الاحتفاظ بالرموز الاحتياطية في موقع آمن. |