В этой статье вы найдете рекомендации, которые помогут вам лучше защитить аккаунты администраторов, а значит, и всю компанию.
Ознакомьтесь также с этими рекомендациями по обеспечению безопасности.
Защита аккаунтов администраторов
Сделайте двухэтапную аутентификацию обязательной для аккаунтов администраторов Если посторонний узнает пароль администратора, двухэтапная аутентификация поможет защитить его аккаунт от несанкционированного доступа. Особенно важно, чтобы эту функцию использовали суперадминистраторы, поскольку из их аккаунтов можно получить доступ ко всем данным компании и сотрудников. |
|
Используйте для двухэтапной аутентификации электронные ключи В качестве второго этапа аутентификации можно использовать, например, электронный ключ, уведомления от Google, приложение Google Authenticator или резервные коды. Электронный ключ – это небольшое физическое устройство, которое используется для двухэтапной аутентификации. Оно помогает обезопасить аккаунты от фишинга и является наиболее защищенным вторым этапом аутентификации. Как защитить компанию с помощью двухэтапной аутентификации, используя электронные ключи |
|
Не используйте один аккаунт администратора для нескольких сотрудников У каждого администратора должен быть собственный аккаунт, по названию которого можно легко определить сотрудника. Если разные сотрудники используют для входа в консоль администратора один аккаунт (например, admin@example.com), вы не сможете понять, кто из них выполнял те или иные действия, зарегистрированные в журнале аудита. |
|
Защитите аккаунты пользователей от целенаправленных атак Вы можете выполнить сразу несколько рекомендаций из этой статьи, если зарегистрируете аккаунты суперадминистраторов и других пользователей, имеющих доступ к важным данным, в программе Дополнительной защиты. Как защитить пользователей с помощью программы Дополнительной защиты |
Управление аккаунтами суперадминистраторов
Создайте несколько аккаунтов суперадминистраторов В организации должно быть несколько аккаунтов суперадминистраторов, принадлежащих разным сотрудникам (аккаунт администратора не следует использовать совместно). Если один из аккаунтов взломают или к нему будет потерян доступ, до его восстановления критически важные задачи сможет выполнять другой суперадминистратор. |
|
Не используйте аккаунт суперадминистратора для выполнения повседневных задач Предоставьте каждому суперадминистратору два аккаунта: аккаунт суперадминистратора и отдельный аккаунт для повседневной работы. Они должны использовать аккаунт суперадминистратора только для выполнения определенных задач, недоступных другим ролям, таких как настройка двухэтапной аутентификации, управление оплатой и пользовательскими лицензиями и восстановление аккаунта другого администратора. Для выполнения повседневных задач суперадминистраторы должны пользоваться обычным корпоративным аккаунтом. Например, если у вас два суперадминистратора – Мария и Иван, то у каждого из них должен быть отдельный аккаунт суперадминистратора с понятным названием и аккаунт обычного пользователя:
|
|
Следите за важными уведомлениями для администраторов Если вы редко входите в основной аккаунт администратора, то можете пропустить обязательные служебные уведомления от Google. Чтобы этого не происходило, настройте в этом аккаунте пересылку на другой адрес электронной почты, которым вы пользуетесь регулярно. Как настроить отправку уведомлений об аккаунте и платежах другому администратору |
|
Попросите суперадминистраторов выходить из аккаунта после каждого сеанса работы Если суперадминистратор не выходит из аккаунта, выполнив свои задачи, это повышает риск фишинговых атак. Суперадминистраторам рекомендуется входить в аккаунт только для выполнения определенных задач, а затем выходить из него. |
|
Используйте аккаунты, не имеющие прав суперадминистратора, для выполнения повседневных административных задач Используйте аккаунт суперадминистратора только в случае необходимости. Для выполнения повседневных административных задач пользуйтесь аккаунтом с ограниченными правами администратора. Руководствуйтесь принципом минимальных привилегий: пользователю предоставляются только ресурсы и инструменты, необходимые для выполнения его обычных задач. Например, ему можно поручить создание аккаунтов и сброс паролей, но не разрешать удалять аккаунты. |
Отслеживание действий в аккаунтах администраторов
Настройте оповещения по электронной почте для администраторов Для отслеживания действий администраторов и потенциальных угроз безопасности настройте оповещения по электронной почте об определенных событиях. Так администраторы смогут узнавать, например, о подозрительных попытках входа, взломе мобильных устройств и изменениях, внесенных другим администратором. О каждом событии приходит отдельное оповещение. Оповещения для администратора по электронной почте и системные правила |
|
Просматривайте журнал аудита администрирования В журнале аудита администрирования хранится информация обо всех задачах, выполненных в консоли администратора Google, а также о том, кто и когда их выполнил и с какого IP-адреса вошел в аккаунт. Действия суперадминистраторов указаны в столбце Описание события как _SEED_ADMIN_ROLE рядом с именем пользователя. |
Подготовка к восстановлению доступа к аккаунту администратора
Добавьте способы восстановления доступа к аккаунтам администраторов Каждому администратору необходимо добавить способы восстановления доступа к своему аккаунту. Если администратор забудет пароль, он сможет нажать на ссылку Нужна помощь? на странице входа, и Google отправит ему новый пароль по телефону, в текстовом сообщении или по электронной почте. Для этого необходимо указать в аккаунте резервный номер телефона и адрес электронной почты. |
|
Храните в доступном месте информацию для сброса пароля Если у суперадминистратора не получается сбросить пароль по телефону, электронной почте или с помощью другого суперадминистратора, он может воспользоваться мастером восстановления доступа. Для подтверждения личности специалист Google запросит следующие сведения об аккаунте организации:
Специалист Google также попросит администратора подтвердить право собственности на домен с помощью записей DNS. Администратору необходимо подготовить учетные данные для входа на сайт регистратора, чтобы у него была возможность изменить настройки DNS домена. |
|
Зарегистрируйте запасной электронный ключ Администраторам следует зарегистрировать несколько электронных ключей для своего аккаунта и хранить их в безопасном месте. Таким образом, если основной электронный ключ будет утерян или украден, они всё равно смогут войти в аккаунт. |
|
Заранее сохраните резервные коды Если администратор потеряет электронный ключ или телефон, на который приходят коды подтверждения двухэтапной аутентификации или уведомления от Google, то сможет выполнить вход с помощью резервного кода. Администраторам необходимо создать и распечатать резервные коды на случай необходимости. Их следует хранить в безопасном месте. |