管理员帐号的安全最佳做法

按照以下最佳做法操作可提高管理员帐号的安全性,进而确保整体业务的安全。

如需了解更多安全防护最佳做法,请参阅安全防护核对清单

保护管理员帐号

要求管理员帐号使用两步验证

如果管理员密码泄露,两步验证 (2SV) 可防止他人未经授权访问管理员帐号。对于超级用户来说,使用两步验证尤其重要,因为他们的帐号控制着单位中所有业务数据和员工数据的访问权限。

通过两步验证来保护您的企业

使用安全密钥进行两步验证

两步验证方式包括安全密钥、Google 提示、Google 身份验证器和备用验证码。安全密钥是一种小型硬件设备,可用于进行双重身份验证。它可帮助防止用户遭受钓鱼式攻击威胁,是最安全的两步验证方式。

通过两步验证 - 安全密钥来保护您的企业

不要让用户共用管理员帐号

向每位管理员提供他们自己的可识别个人身份的管理员帐号,否则,如果多个用户使用同一管理员帐号(例如 admin@example.com)来登录管理控制台,则您无法确定审核日志中负责特定活动的管理员。

防范定向攻击

您可以为超级用户帐号和其他敏感帐号注册加入高级保护计划,这样就可以一次性应用本文所述的许多推荐措施。

使用高级保护计划保护用户

管理超级用户帐号

设置多个超级用户帐号

您的单位应设置多个超级用户帐号,并由不同用户进行管理(避免共用管理员帐号)。如此一来,如果有帐号丢失或遭到盗用,则在该帐号恢复期间,可以由其他超级用户来执行重要任务。

请勿使用超级用户帐号进行日常活动

向每个超级用户提供 2 个帐号:他们自己的超级用户帐号,以及进行日常活动的另一个帐号。用户应仅在登录超级用户帐号后才能执行超级用户任务,如设置两步验证、管理结算和用户许可或帮助其他管理员恢复帐号。

超级用户应使用其他非管理员帐号进行日常活动。

举例来说,如果 Maria 和 James 都是超级用户,他们应该拥有属于可识别个人身份的管理员帐号和用户帐号,如下所示:

  • admin-maria@example.com、maria@example.com
  • admin-james@example.com、james@example.com

确保您可以收到重要的管理员通知

如果您不经常使用主要管理员帐号登录,则可能会错过 Google 向您发送的重要服务通告。为了确保您收到这些通告,请设置辅助电子邮件联系人,以让系统将这些通告发送到您常用的帐号。

向其他管理员发送结算和帐号通知

不要将超级用户帐号保持登录状态

若在不执行特定管理任务时保持超级用户帐号登录状态,会增加遭受钓鱼式攻击侵扰的概率。超级用户应根据需要登录帐号,并在完成任务后退出登录。

使用非超级用户帐号执行日常管理任务

仅在需要时使用超级用户帐号。将管理员任务委托给拥有受限管理员角色的用户帐号。推行最小权限方式,让每位用户只能访问完成各自平时任务所需的资源和工具。举例来说,您可以授予管理员创建用户帐号和重置密码的权限,但不授予其删除帐号的权限。

关于管理员角色

监控管理员帐号的活动

设置管理员电子邮件提醒

您可以针对特定事件(例如有可疑的登录尝试行为、移动设备遭到破解或者其他管理员更改设置)设置管理员电子邮件提醒,从而监控管理员活动并追踪潜在安全风险。

为某个活动开启提醒后,每次该活动发生时,您都会收到一封电子邮件。

管理员电子邮件提醒和系统指定的规则

查看管理审核日志

通过管理审核日志查看在 Google 管理控制台中执行的各项操作的历史记录、执行操作的管理员、日期以及管理员登录时使用的 IP 地址。

超级用户的活动在事件说明列中将显示为 _SEED_ADMIN_ROLE,且后跟用户名。

管理审核日志

恢复管理员帐号的准备工作

为管理员帐号添加恢复选项

管理员应为其管理员帐号添加恢复选项。

如果管理员忘记了密码,可以在登录页面点击需要帮助?链接,Google 会通过电话、短信或电子邮件发送新密码。为此,Google 需要管理员为其帐号提供辅助电话号码和辅助邮箱。

为管理员帐号添加帐号恢复信息

妥善保存重设密码所需的信息

如果某超级用户无法通过电子邮件或电话恢复选项重置密码,也没有其他超级用户来重置密码,则可以使用恢复向导。

Google 会询问有关单位帐号的问题以验证身份:

  • 帐号的创建日期。
  • 与帐号关联的原始辅助电子邮件地址(用于注册的电子邮件地址)。
  • 与帐号关联的 Google 订单号(如有)。
  • 已创建的用户帐号数量。
  • 与帐号关联的帐单邮寄地址。
  • 所使用的信用卡类型及其最后 4 位数字。

Google 还会要求管理员验证网域的 DNS 所有权,因此管理员需要拥有修改注册商网域 DNS 设置的凭据。

重置管理员密码 - 如果没有辅助邮箱和电话号码选项时该怎么办

注册备用安全密钥

管理员应为其管理员帐号注册多个安全密钥,并将其保存在安全的地方。如果主安全密钥丢失或被盗,他们仍然可以登录自己的帐号。

为帐号添加安全密钥

提前保存备用验证码

如果管理员丢失了安全密钥或手机(用于接收两步验证的验证码或 Google 提示),他们可以使用备用验证码登录。

管理员应生成并打印备用验证码以供需要时使用。请将备用验证码保存在安全的地方。

生成并打印备用验证码

相关主题

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
主菜单
8755923170522835452
true
搜索支持中心
true
true
true
true
true
73010
false
false