Segui queste best practice per migliorare la sicurezza dei tuoi account amministratore e, di conseguenza, della tua attività nel suo insieme.
Per ulteriori best practice per la sicurezza, consulta gli elenchi di controllo di sicurezza.
Proteggere gli account amministratore
Richiedere la verifica in due passaggi per gli account amministratore Se qualcuno riesce a ottenere la password di amministratore, la verifica in due passaggi (V2P) aiuta a proteggere l'account da accessi non autorizzati. È particolarmente importante che i super amministratori utilizzino la verifica in due passaggi perché i loro account controllano l'accesso a tutti i dati aziendali e dei dipendenti dell'organizzazione. |
|
Utilizzare i token di sicurezza per la verifica in due passaggi Esistono diversi metodi per utilizzare la verifica in due passaggi, tra cui token di sicurezza, messaggio di Google, Google Authenticator e codici di backup. I token di sicurezza sono piccoli dispositivi hardware che vengono utilizzati per l'autenticazione a due fattori. Servono per proteggere dalle minacce di phishing e rappresentano la forma di V2P più sicura. Proteggere la tua attività con la verifica in due passaggi - Token di sicurezza |
|
Non condividere gli account amministratore con gli utenti Assegna a ciascun amministratore un account amministratore identificabile. Altrimenti, se più persone utilizzano lo stesso account amministratore, ad esempio admin@example.com, per accedere alla Console di amministrazione, non sarà possibile distinguere quale amministratore è responsabile di specifiche attività registrate nel log di controllo. |
|
Difendere gli utenti da attacchi mirati Puoi applicare contemporaneamente molti dei consigli riportati in questo articolo registrando gli account super amministratore e altri account sensibili al programma di protezione avanzata. Proteggere gli utenti con il programma di protezione avanzata |
Gestire gli account super amministratore
Configurare più account super amministratore È bene che un'organizzazione abbia più di un account super amministratore e che ciascuno sia gestito da una persona diversa (evita di condividere gli account). In questo modo, se un account viene perso o violato, un altro super amministratore può eseguire attività critiche mentre l'altro account viene ripristinato. |
|
Non utilizzare un account di super amministratore per le attività quotidiane Assegna due account a ogni super amministratore: l'account super amministratore e un account separato per le attività quotidiane. Gli utenti devono accedere all'account super amministratore esclusivamente per eseguire attività di super amministratore, come, ad esempio, configurare la verifica in due passaggi (V2P), gestire la fatturazione e le licenze utente o aiutare un altro amministratore a recuperare il proprio account. I super amministratori devono utilizzare un account non amministratore separato per le attività quotidiane. Ad esempio, se Maria e Giacomo sono super amministratori, ciascuno di loro dovrà avere un account amministratore identificabile come tale e un account utente, come indicato di seguito:
|
|
Assicurarsi di ricevere gli annunci importanti per gli amministratori Se non esegui spesso l'accesso con il tuo account amministratore principale, potresti perdere gli annunci di servizio obbligatori importanti provenienti da Google. Per assicurarti di ricevere questi annunci, configura un contatto email secondario per inviarli a un account che utilizzi regolarmente. Inviare notifiche relative alla fatturazione e all'account a un altro amministratore |
|
Non rimanere collegati a un account super amministratore Rimanere collegati a un account super amministratore quando non si eseguono attività amministrative specifiche può aumentare l'esposizione agli attacchi di phishing. I super amministratori dovrebbero effettuare l'accesso per svolgere operazioni specifiche dettate dalle necessità, quindi uscire. |
|
Utilizzare account non super amministratore per le attività amministrative quotidiane Utilizza l'account super amministratore solo quando necessario. Delega le attività di amministratore ad account utente con ruoli amministrativi limitati. Utilizza il principio del privilegio minimo, in cui ogni utente può accedere soltanto alle risorse e agli strumenti necessari per le attività comuni. Ad esempio, potresti concedere a un amministratore le autorizzazioni per creare account utente e reimpostare le password, ma non per eliminare gli account. |
Monitorare le attività degli account amministratore
Configurare gli avvisi via email per gli amministratori Per controllare le attività amministrative e tenere traccia dei potenziali rischi per la sicurezza, configura gli avvisi via email per gli amministratori per determinati eventi, ad esempio tentativi di accesso sospetti, compromissione dei dispositivi mobili o modifiche apportate da un altro amministratore. Quando attivi un avviso per un'attività, riceverai un'email ogni volta che questa si verifica. Avvisi via email per gli amministratori e regole definite dal sistema |
|
Esaminare il log di controllo della Console di amministrazione Utilizza il log di controllo della Console di amministrazione per visualizzare la cronologia di tutte le attività eseguite nella Console di amministrazione Google, gli amministratori che le hanno eseguite, la data e l'indirizzo IP da cui l'amministratore ha eseguito l'accesso. L'attività del super amministratore viene visualizzata nella colonna Descrizione evento come _SEED_ADMIN_ROLE, seguita dal nome utente. |
Prepararsi per il recupero dell'account amministratore
Aggiungere opzioni di recupero agli account amministratore Gli amministratori dovrebbero aggiungere opzioni di recupero al proprio account amministratore. Se un amministratore dimentica la password, può fare clic sul link Serve aiuto? nella pagina di accesso e Google invierà una nuova password tramite telefono, SMS o email. Per farlo, Google ha bisogno di un numero di telefono e di un indirizzo email di recupero dell'account. Aggiungere opzioni di recupero dell'account al proprio account amministratore |
|
Tenere a portata di mano le informazioni per la reimpostazione della password Se un super amministratore non è in grado di reimpostare la propria password tramite le opzioni di recupero via email o telefono e non è disponibile un altro super amministratore che possa farlo, può utilizzare la procedura guidata di recupero. Per verificare l'identità, Google pone alcune domande sull'account dell'organizzazione:
Google chiede inoltre all'amministratore di verificare la proprietà DNS del dominio, quindi l'amministratore deve avere le credenziali per modificare le impostazioni DNS del dominio presso il registrar. |
|
Registrare un altro token di sicurezza Gli amministratori dovrebbero registrare un altro token di sicurezza per il proprio account amministratore e conservarlo in un luogo sicuro. Se il token di sicurezza principale viene perso o rubato, potranno continuare ad accedere al proprio account. |
|
Salvare in anticipo i codici di backup Se un amministratore perde il token di sicurezza o il telefono (su cui riceve il codice di verifica V2P o un messaggio di Google), può utilizzare un codice di backup per eseguire l'accesso. Gli amministratori dovrebbero generare e stampare codici di backup da utilizzare in caso di necessità e conservarli in un luogo sicuro. |