أفضل ممارسات الأمان لحسابات المشرفين

طلب استخدام ميزة "التحقّق بخطوتين" لحسابات المشرف

إذا تمكَّن أحد المستخدمين من الحصول على كلمة مرور المشرف، تساعد ميزة "التحقُّق بخطوتين (2SV)" على حماية الحساب من الدخول غير المصرح به. وعلى المشرفين المُتميِّزين بشكلٍ خاص استخدام "التحقُّق بخطوتين (2SV)" لأن حساباتهم تتحكَّم في الوصول لجميع بيانات الأنشطة التجارية والموظفين في المؤسسة.

حماية نشاطك التجاري بساتخدام ميزة "التحقُّق بخطوتين"

استخدام مفاتيح الأمان "للتحقُّق بخطوتين"

توجد طرق عديدة "للتحقُّق بخطوتين (2SV)"، بما في ذلك مفاتيح الأمان و"رسالة مطالبة من Google" وGoogle Authenticator والرموز الاحتياطية. ومفاتيح الأمان هي أجهزة صغيرة تُستخدم لعامل المصادقة الثاني. وتساعد على التصدي لتهديدات التصيُّد الاحتيالي وهي الوسيلة الأكثر أمانًا من وسائل "التحقُّق بخطوتين (2SV)".

حماية نشاطك التجاري باستخدام ميزة "التحقُّق بخطوتين" - مفاتيح الأمان

عدم مشاركة حسابات المشرفين بين المستخدمين

امنَح كل مشرف حساب مشرف يكشف عن هويته. بخلاف ذلك، في حال استخدم العديد من المستخدمين حساب المشرف نفسه لتسجيل الدخول إلى "وحدة تحكُّم المشرف"، مثل admin@example.com، لن تتمكَّن من تحديد المشرف المسؤول عن أنشطة معيَّنة في سجل التدقيق.

الحماية من الهجمات المُوجَّهة

يمكنك تطبيق العديد من الاقتراحات الواردة في هذه المقالة دُفعة واحدة من خلال تسجيل حسابات المشرفين المتميِّزين والحسابات الحسّاسة الأخرى في "برنامج الحماية المتقدِّمة".

حماية المستخدمين باستخدام "برنامج الحماية المتقدِّمة"

ضبط حسابات متعددة للمشرفين المتميِّزين

يجب أن يكون للمؤسسة أكثر من حساب مشرف متميِّز، وأن يدير كل حساب فرد منفصل (تجنب مشاركة حساب المشرف). وفي حال فقدان حساب واحد أو اختراقه، يمكن لمشرف متميِّز آخر أداء المهام بالغة الأهمية إلى يتم استرداد الحساب الآخر.

عدم استخدام حساب المشرف المتميِّز للأنشطة اليومية

امنَح كل مشرف متميِّز حسابين: حساب المشرف المتميز التابع له، وحساب منفصل للأنشطة اليومية. ويجب ألا يسجل المستخدمون الدخول إلى حساب المشرف المتميِّز إلا لتنفيذ مهام المشرف المتميِّز، مثل ضبط ميزة "التحقُّق بخطوتين (2SV)" أو إدارة الفوترة وتراخيص المستخدمين أو مساعدة مشرف آخر في استرداد حسابه.

على المشرفين المتميِّزين استخدام حساب منفصل غير تابع للمشرف لتنفيذ للأنشطة اليومية.

على سبيل المثال، في حال كان جمال ومريم مشرفين متميِّزين، يجب أن يكون لديهما حساب مُشرِّف يكشف عن هويتهما وحساب مستخدم، كما يلي:

• admin-mariam@example.com, mariam@example.com
• admin-jamal@example.com, jamal@example.com

ضمان تلقّي إشعارات المشرف المهمة

إذا كنت لا تسجِّل الدخول عادةً باستخدام حساب المشرف الأساسي، قد تفوتك إشعارات هامة إلزامية عن الخدمة من Google. لضمان تلقي هذه الإشعارات، عليك ضبط جهة اتصال بريد إلكتروني ثانوية ليتم إرسال هذه الإشعارات إلى حساب تستخدمه بانتظام.

إرسال إشعارات الفوترة والحساب إلى مشرف آخر

عدم البقاء مسجِّلاً الدخول إلى حساب المشرف المتميِّز

يمكن أن يزيد الاحتفاظ بتسجيل الدخول إلى حساب المشرف المتميِّز عندما لا تؤدي مهام إدارية مُحدَّدة من خطر التعرض إلى هجمات التصيُّد الاحتيالي. وعلى المشرفين المتميِّزين تسجيل الدخول عند الحاجة إلى تنفيذ مهام مُحدَّدة وتسجيل الخروج بعد ذلك.

استخدام حسابات المشرفين غير المتميِّزين لتنفيذ مهام المشرف اليومية

لا تستخدم حساب المشرف المتميِّز إلا عند الحاجة. يمكنك تفويض مهام المشرف إلى حسابات المستخدمين بأدوار مشرف محدودة. ويُفضّل استخدام منهج أقل امتياز، حيث يمكن لكل مستخدم الوصول إلى الموارد والأدوات التي يحتاجها لتنفيذ مهامه المعتادة. يمكنك مثلاً منح مشرف إذن لإنشاء حسابات المستخدمين وإذن لإعادة ضبط كلمات المرور، بدون السماح له بحذف حسابات المستخدمين.

لمحة عن أدوار المشرف

إعداد تنبيهات البريد الإلكتروني للمشرف

يمكن مراقبة نشاط المشرف وتتبُّع المخاطر الأمنية المُحتمَلة من خلال إعداد تنبيهات البريد الإلكتروني للمشرف لأحداث معيَّنة، مثل محاولات تسجيل الدخول المريبة أو تعرُّض أجهزة جوَّالة للاختراق أو إجراء مشرف آخر لتغييرات.

عند تفعيل تنبيه لنشاط، ستتلقَّى رسالة إلكترونية في كل مرة يحدث فيها هذا النشاط.

تنبيهات البريد الإلكتروني للمشرف وقواعد النظام المُحدَّدة

مراجعة سجلِّ تدقيق المشرف

يمكنك استخدام سجلِّ تدقيق المشرف للاطلاع على سجل لكل مهمة تم تنفيذها ضمن "وحدة تحكُّم المشرف في Google" وكذلك المشرف الذي نفَّذ المهمة وتاريخها وعنوان IP الذي سجل المشرف الدخول به.

يظهر النشاط من المشرف المتميِّز في عمود وصف الحدث بالشكل _SEED_ADMIN_ROLE، متبوعًا باسم المستخدم.

سجل تدقيق المشرف

إضافة خيارات الاسترداد إلى حسابات المشرف

على المشرفين إضافة خيارات استرداد الحساب لحساب المشرف.

في حال نسيان مشرف لكلمة مروره، يمكنه النقر على الرابط هل تحتاج إلى مساعدة؟ في صفحة تسجيل الدخول، وسترسل Google كلمة مرور جديدة عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني. ولإجراء ذلك، تحتاج Google إلى رقم الهاتف المخصّص لاسترداد الحساب وعنوان البريد الإلكتروني للحساب.

إضافة معلومات استرداد الحساب إلى حساب المشرف

الاحتفاظ بالمعلومات في مكان يسهل الوصول إليه لإعادة ضبط كلمة المرور

في حال لم يتمكَّن مشرف متميِّز من إعادة ضبط كلمة مروره باستخدام خيارات استرداد الحساب عبر الهاتف أو البريد الإلكتروني، ولم يكن هناك مشرف متميِّز آخر متاح لإعادة ضبط كلمة المرور، يمكنه استخدام معالج الاسترداد.

لإثبات الهوية، تطرح Google الأسئلة التالية حول حساب المؤسسة:

• التاريخ الذي تم فيه إنشاء الحساب.
• عنوان البريد الإلكتروني الثانوي الأصلي المرتبط بالحساب (البريد الإلكتروني المُستخدم للاشتراك).
• رقم طلب Google المرتبط بالحساب (إن أمكن).
• عدد حسابات المستخدمين التي تم إنشاؤها.
• عنوان إرسال الفواتير المرتبط بالحساب.
• نوع بطاقة الائتمان المُستخدمة وآخر 4 أرقام فيها.

تطلب Google أيضًا من المشرف إثبات ملكية نظام أسماء النطاقات للنطاق، لذا يجب أن تتوفر لدى المشرف بيانات الاعتماد لتعديل إعدادات نظام أسماء النطاقات للنطاق باستخدام جهة التسجيل.

إعادة ضبط كلمة مرور المشرف، في حال عدم توفُّر خياري البريد الإلكتروني والهاتف

تسجيل مفتاح أمان احتياطي

على المشرفين تسجيل أكثر من مفتاح أمان لحساب المشرف وتخزينها في مكان آمن. وفي حال فقدان مفتاح الأمان الأساسي أو سرقته، سيظل بإمكانهم تسجيل الدخول إلى حساباتهم.

إضافة مفتاح أمان إلى حسابك

حفظ الرموز الاحتياطية مسبقًا

في حال فقد مشرف هاتفًا أو مفتاح الأمان (حيث يتلقى رمز التحقُّق "التحقُّق بخطوتين (2SV)" أو "رسالة مطالبة من Google")، يمكنه استخدام رمز احتياطي لتسجيل الدخول.

على المشرفين إنشاء رموز احتياطية وطبعها لاستخدامها عند الحاجة. وعليهم الاحتفاظ بالرموز الاحتياطية في موقع آمن.

إنشاء الرموز الاحتياطية وطباعتها