แนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับบัญชีผู้ดูแลระบบ

กำหนดให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชีผู้ดูแลระบบ

หากมีผู้อื่นรู้รหัสผ่านของผู้ดูแลระบบ การยืนยันแบบ 2 ขั้นตอน (2SV) จะช่วยปกป้องบัญชีจากการเข้าถึงโดยไม่ได้รับอนุญาต สิ่งสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบขั้นสูงคือการใช้ 2SV เนื่องจากบัญชีของตนสามารถควบคุมการเข้าถึงข้อมูลทางธุรกิจและพนักงานทั้งหมดในองค์กรได้

ปกป้องธุรกิจของคุณด้วยการยืนยันแบบ 2 ขั้นตอน

ใช้คีย์ความปลอดภัยสำหรับการยืนยันแบบ 2 ขั้นตอน

มีวิธีการใช้ 2SV หลายวิธีซึ่งประกอบด้วยคีย์ความปลอดภัย, Google Prompt, Google Authenticator และรหัสสำรอง โดยคีย์ความปลอดภัยเป็นอุปกรณ์ฮาร์ดแวร์ขนาดเล็กที่ใช้สำหรับการตรวจสอบสิทธิ์จากปัจจัยที่ 2 ซึ่งช่วยป้องกันภัยคุกคามแบบฟิชชิงและเป็นการยืนยันแบบ 2 ขั้นตอนชนิดที่ปลอดภัยที่สุด

ปกป้องธุรกิจของคุณด้วยการยืนยันแบบ 2 ขั้นตอน – คีย์ความปลอดภัย

อย่าแชร์บัญชีผู้ดูแลระบบกับผู้ใช้

มอบบัญชีที่ระบุตัวตนได้ให้ผู้ดูแลระบบแต่ละคน เพราะหากมีหลายคนลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบโดยใช้บัญชีเดียวกัน เช่น admin@example.com คุณจะไม่สามารถระบุได้ว่าผู้ดูแลระบบรายใดเป็นคนทำกิจกรรมนั้นๆ ในบันทึกการตรวจสอบ

ป้องกันการโจมตีแบบเจาะจงเป้าหมาย

คุณสามารถใช้คําแนะนําทั้งหลายในบทความนี้พร้อมๆ กันได้โดยการลงทะเบียนบัญชีผู้ดูแลระบบขั้นสูงและบัญชีที่ละเอียดอ่อนอื่นๆ ในโปรแกรมการปกป้องขั้นสูง

ปกป้องผู้ใช้ด้วยโปรแกรมการปกป้องขั้นสูง

ตั้งค่าบัญชีผู้ดูแลระบบขั้นสูงหลายบัญชี

องค์กรของคุณควรมีบัญชีผู้ดูแลระบบขั้นสูงมากกว่า 1 บัญชี โดยแต่ละบัญชีจะจัดการโดยบุคคลที่ไม่ใช่คนเดียวกัน (หลีกเลี่ยงการแชร์บัญชีผู้ดูแลระบบ) หากบัญชีใดสูญหายหรือถูกบุกรุก ผู้ดูแลระบบขั้นสูงอีกคนจะทำงานสำคัญแทนได้ในระหว่างที่กู้คืนบัญชี

อย่าใช้บัญชีผู้ดูแลระบบขั้นสูงสำหรับกิจกรรมประจำวัน

มอบบัญชี 2 บัญชีให้ผู้ดูแลระบบขั้นสูงแต่ละคน โดยบัญชีแรกคือบัญชีผู้ดูแลระบบขั้นสูง ส่วนอีกบัญชีมีไว้สำหรับกิจกรรมประจำวัน ผู้ใช้ควรลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงเพื่อทำงานของผู้ดูแลระบบขั้นสูงเท่านั้น เช่น การตั้งค่าการยืนยันแบบ 2 ขั้นตอน (2SV), จัดการการเรียกเก็บเงินและใบอนุญาตผู้ใช้ หรือช่วยผู้ดูแลระบบรายอื่นกู้คืนบัญชี

ส่วนกิจกรรมประจำวัน ควรใช้บัญชีแยกอีกอันที่ไม่ใช่บัญชีผู้ดูแลระบบ

เช่น หากมาเรียและเจมส์เป็นผู้ดูแลระบบขั้นสูง ทั้งคู่ควรมีบัญชีผู้ดูแลระบบที่ระบุได้ว่าเป็นของใคร 1 บัญชีและบัญชีผู้ใช้ 1 บัญชี ดังนี้

• admin-maria@example.com, maria@example.com
• admin-james@example.com, james@example.com

ตรวจสอบว่าคุณได้รับการแจ้งเตือนที่สําคัญของผู้ดูแลระบบ

หากคุณไม่ค่อยลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบหลักบ่อยนัก คุณอาจพลาดประกาศสำคัญเกี่ยวกับการให้บริการที่จําเป็นจาก Google ได้ โปรดตั้งค่าอีเมลรองเพื่อส่งประกาศไปยังบัญชีที่คุณใช้เป็นประจําเพื่อให้มั่นใจว่าคุณจะได้รับประกาศเหล่านี้

ส่งการแจ้งเตือนเรื่องการเรียกเก็บเงินและบัญชีให้กับผู้ดูแลระบบรายอื่น

อย่าลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้

การลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้เมื่อคุณไม่ได้ดำเนินการด้านการดูแลระบบที่เฉพาะเจาะจงอาจเป็นการเพิ่มความเสี่ยงต่อการโจมตีโดยฟิชชิง ผู้ดูแลระบบขั้นสูงควรลงชื่อเข้าใช้เมื่อจำเป็นต้องทำงานบางอย่าง จากนั้นให้ออกจากระบบ

ใช้บัญชีผู้ดูแลระบบที่ไม่ใช่ขั้นสูงสําหรับงานของผู้ดูแลระบบประจําวัน

โปรดใช้บัญชีผู้ดูแลระบบขั้นสูงเมื่อจําเป็นเท่านั้น มอบสิทธิ์ผู้ดูแลระบบให้กับบัญชีผู้ใช้ที่มีบทบาทผู้ดูแลระบบแบบจํากัด ใช้แนวทางการให้สิทธิ์ขั้นต่ำที่สุด โดยผู้ใช้แต่ละรายจะมีสิทธิ์เข้าถึงทรัพยากรและเครื่องมือที่จําเป็นสําหรับการทํางานทั่วไป เช่น ให้สิทธิ์ผู้ดูแลระบบในการสร้างบัญชีผู้ใช้และรีเซ็ตรหัสผ่าน แต่ไม่ให้สิทธิ์ลบบัญชี

เกี่ยวกับบทบาทผู้ดูแลระบบ

ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบ

ตรวจสอบกิจกรรมของผู้ดูแลระบบและติดตามความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยตั้งการแจ้งเตือนทางอีเมลของผู้ดูแลระบบเมื่อเกิดเหตุการณ์บางอย่าง เช่น มีการลงชื่อเข้าใช้ที่น่าสงสัย อุปกรณ์เคลื่อนที่ถูกบุกรุก หรือเมื่อผู้ดูแลระบบรายอื่นทำการเปลี่ยนแปลงใดๆ

เมื่อคุณเปิดการแจ้งเตือนสำหรับกิจกรรม คุณจะได้รับอีเมลทุกครั้งที่กิจกรรมเกิดขึ้น

การแจ้งเตือนผู้ดูแลระบบทางอีเมลและกฎที่ระบบกำหนด

ตรวจดูบันทึกการตรวจสอบของผู้ดูแลระบบ

ใช้บันทึกการตรวจสอบของผู้ดูแลระบบเพื่อดูประวัติของงานทั้งหมดที่ดำเนินการในคอนโซลผู้ดูแลระบบของ Google ว่าผู้ดูแลระบบรายใดเป็นผู้ปฏิบัติ วันที่ และที่อยู่ IP ที่ผู้ดูแลระบบลงชื่อเข้าใช้

กิจกรรมที่ผู้ดูแลระบบขั้นสูงทำจะปรากฏในคอลัมน์คำอธิบายกิจกรรมเป็น _SEED_ADMIN_ROLE ตามด้วยชื่อผู้ใช้

บันทึกการตรวจสอบผู้ดูแลระบบ

เพิ่มตัวเลือกการกู้คืนสำหรับบัญชีผู้ดูแลระบบ

ผู้ดูแลระบบควรเพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของตน

ผู้ดูแลระบบสามารถคลิกลิงก์หากต้องการความช่วยเหลือในหน้าลงชื่อเข้าใช้เพื่อให้ Google ส่งรหัสผ่านใหม่ให้ทางโทรศัพท์ ข้อความ หรืออีเมลได้หากตนเองลืมรหัสผ่าน Google จึงจำเป็นต้องมีหมายเลขโทรศัพท์และอีเมลผู้ดูแลระบบของบัญชีนี้

เพิ่มข้อมูลการกู้คืนบัญชีลงในบัญชีผู้ดูแลระบบ

เก็บข้อมูลบัญชีไว้ให้พร้อมสำหรับการรีเซ็ตรหัสผ่าน

หากผู้ดูแลระบบขั้นสูงไม่สามารถรีเซ็ตรหัสผ่านของตนโดยใช้ตัวเลือกการกู้คืนทางอีเมลหรือโทรศัพท์ และผู้ดูแลระบบขั้นสูงรายอื่นก็รีเซ็ตรหัสผ่านไม่ได้เช่นกัน ให้ผู้ดูแลระบบทั้งสองใช้วิซาร์ดการกู้คืน

Google จะถามคำถามเกี่ยวกับบัญชีขององค์กรดังนี้เพื่อยืนยันตัวตน

• วันที่สร้างบัญชี
• ที่อยู่อีเมลสำรองเดิมที่เชื่อมโยงกับบัญชี (อีเมลที่ใช้ลงชื่อสมัครใช้)
• หมายเลขคำสั่งซื้อของ Google ที่เชื่อมโยงกับบัญชี (หากมี)
• จำนวนบัญชีผู้ใช้ที่สร้างขึ้น
• ที่อยู่สำหรับการเรียกเก็บเงินที่เชื่อมโยงกับบัญชี
• ประเภทบัตรเครดิตที่ใช้และตัวเลข 4 ตัวสุดท้าย

นอกจากนี้ Google ยังขอให้ผู้ดูแลระบบยืนยันความเป็นเจ้าของ DNS ของโดเมนด้วย ดังนั้นผู้ดูแลระบบจึงต้องมีข้อมูลเข้าสู่ระบบเพื่อแก้ไขการตั้งค่า DNS ของโดเมนกับผู้รับจดทะเบียนของตน

รีเซ็ตรหัสผ่านของผู้ดูแลระบบ - หากไม่มีตัวเลือกอีเมลและโทรศัพท์

ลงทะเบียนคีย์ความปลอดภัยสำรอง

ผู้ดูแลระบบควรลงทะเบียนคีย์ความปลอดภัยมากกว่า 1 คีย์เพื่อใช้สำหรับบัญชีผู้ดูแลระบบและควรเก็บไว้ในที่ที่ปลอดภัย หากคีย์ความปลอดภัยหลักสูญหายหรือถูกขโมย พวกเขาจะยังคงลงชื่อเข้าใช้บัญชีได้

เพิ่มคีย์ความปลอดภัยให้กับบัญชีของคุณ

บันทึกรหัสสำรองล่วงหน้า

หากผู้ดูแลระบบลืมรหัสรักษาความปลอดภัยหรือโทรศัพท์ (ที่พวกเขาได้รับรหัสยืนยัน 2SV หรือ Google Prompt) ผู้ดูแลระบบจะใช้รหัสสำรองในการลงชื่อเข้าใช้ได้

ผู้ดูแลระบบควรสร้างและพิมพ์รหัสสำรองเผื่อไว้ใช้ในกรณีที่จำเป็น และเก็บรหัสสำรองไว้ในที่ปลอดภัย

สร้างและพิมพ์รหัสสำรอง