Praktische tips voor de beveiliging van beheerdersaccounts

Volg deze praktische tips om de beveiliging van uw beheerdersaccounts, en daardoor van uw bedrijf als geheel, te verbeteren.

Zie Beveiligingschecklists voor meer praktische beveiligingstips.

Beheerdersaccounts beveiligen

Vereis verificatie in 2 stappen voor beheerdersaccounts

Als iemand het beheerderswachtwoord weet te achterhalen, kan verificatie in 2 stappen het account beschermen tegen ongeautoriseerde toegang. Het is met name belangrijk dat hoofdbeheerders verificatie in 2 stappen gebruiken, omdat ze met hun account toegang hebben tot alle bedrijfs- en werknemersgegevens in de organisatie.

Uw bedrijf beveiligen met verificatie in 2 stappen

Gebruik beveiligingssleutels voor verificatie in 2 stappen

Er zijn verschillende methoden voor verificatie in 2 stappen, zoals beveiligingssleutels, Google-prompts, Google Authenticator en back-upcodes. Beveiligingssleutels zijn kleine hardwareapparaten die worden gebruikt bij verificatie in meerdere stappen. Ze kunnen phishingaanvallen voorkomen en zijn de veiligste vorm van verificatie in 2 stappen.

Uw bedrijf beveiligen met verificatie in 2 stappen: beveiligingssleutels

Deel beheerdersaccounts niet

Geef elke beheerder een eigen, identificeerbaar beheerdersaccount. Als meerdere mensen met hetzelfde beheerdersaccount (zoals beheerder@example.com) inloggen bij de Beheerdersconsole, kunt u niet zien welke beheerder bepaalde activiteiten in het controlelogboek heeft uitgevoerd.

Uw organisatie beschermen tegen gerichte aanvallen

U kunt veel van de aanbevelingen in dit artikel tegelijk toepassen door hoofdbeheerdersaccounts en andere gevoelige accounts in te schrijven voor het programma Geavanceerde beveiliging.

Gebruikers beveiligen met het programma Geavanceerde beveiliging

Hoofdbeheerdersaccounts beheren

Stel meerdere hoofdbeheerdaccounts in

We raden organisaties aan meerdere hoofdbeheerdersaccounts te maken, die allemaal worden beheerd door een aparte persoon (deel beheerdersaccounts niet). Als een account wordt gehackt of als de gebruiker de inloggegevens vergeet, kan een andere hoofdbeheerder belangrijke taken uitvoeren terwijl het andere account wordt hersteld.

Gebruik geen hoofdbeheerdersaccount voor dagelijkse taken

Geef elke hoofdbeheerder 2 accounts: Een eigen hoofdbeheerdersaccount en een apart account voor dagelijkse taken. Gebruikers moeten alleen inloggen op het hoofdbeheerdersaccount om hoofdbeheerderstaken uit te voeren, zoals verificatie in 2 stappen instellen, de facturering en gebruikerslicenties beheren, of andere beheerders helpen hun account te herstellen.

Hoofdbeheerders moeten een apart account dat geen beheerdersaccount is gebruiken voor dagelijkse activiteiten.

Als Maria en James bijvoorbeeld hoofdbeheerders zijn, moeten ze elk een eigen hoofdbeheerdersaccount en een gebruikersaccount hebben:

  • beheer-maria@example.com, maria@example.com
  • beheer-james@example.com, james@example.com

Zorg dat u belangrijke mededelingen van beheerders krijgt

Als u niet vaak inlogt op uw primaire beheerdersaccount, mist u mogelijk belangrijke verplichte mededelingen van Google. Zorg dat u deze mededelingen krijgt door een secundair e-mailcontact in te stellen. Zo worden deze meldingen naar een account gestuurd dat u regelmatig gebruikt.

Meldingen over facturering en accounts naar een andere beheerder sturen

Blijf niet ingelogd op een hoofdbeheerdersaccount

Wanneer u bent ingelogd op een hoofdgebruikersaccount wanneer u geen specifieke beheertaken uitvoert, vergroot dit de kans op phishingaanvallen. We raden hoofdbeheerders aan alleen in te loggen als dat nodig is om specifieke taken uit te voeren en vervolgens weer uit te loggen.

Gebruik beheerdersaccounts die geen hoofdbeheerdersaccounts zijn voor dagelijkse beheertaken

Gebruik het hoofdbeheerdersaccount alleen als dit nodig is. Delegeer beheerderstaken aan gebruikersaccounts met beperkte beheerdersrollen. Gebruik het model met de minste rechten. Hiermee hebben gebruikers alleen toegang tot de resources en tools die ze nodig hebben voor hun specifieke taken. U kunt bijvoorbeeld een beheerder rechten geven om gebruikersaccounts te maken en wachtwoorden te resetten, maar niet om gebruikersaccounts te verwijderen.

Over beheerdersrollen

Activiteiten in beheerdersaccounts checken

Stel e-mailmeldingen voor beheerders in

Check de beheeractiviteit en mogelijke beveiligingsrisico's door e-mailmeldingen voor beheerders in te stellen voor bepaalde gebeurtenissen, zoals verdachte inlogpogingen, gehackte mobiele apparaten of wanneer een andere beheerder instellingen wijzigt.

Als u meldingen aanzet voor een activiteit, krijgt u een e-mail elke keer dat deze activiteit zich voordoet.

E-mailmeldingen voor beheerders en door het systeem gedefinieerde regels

Bekijk het controlelogboek voor beheerders

In het controlelogboek voor beheerders ziet u de geschiedenis van elke taak die in de Google Beheerdersconsole is uitgevoerd, welke beheerder de taak heeft uitgevoerd, de datum en het IP-adres waarvandaan de beheerder is ingelogd.

Activiteiten van hoofdbeheerders staan in de kolom Beschrijving gebeurtenis als _SEED_ADMIN_ROLE, gevolgd door de gebruikersnaam.

Controlelogboek voor beheerders

Voorbereiden op herstel van beheerdersaccounts

Voeg herstelopties toe aan beheerdersaccounts

Beheerders moeten herstelopties toevoegen aan hun beheerdersaccount.

Als een beheerder het wachtwoord is vergeten, kan deze klikken op de link Hulp nodig? op de inlogpagina. Google stuurt dan een nieuw wachtwoord via telefoon, sms of e-mail. Hiervoor moet Google een hersteltelefoonnummer en herstelmailadres hebben voor het account.

Opties voor accountherstel toevoegen aan uw beheerdersaccount

Houd informatie bij de hand om wachtwoorden te resetten

Als een hoofdbeheerder het wachtwoord niet kan resetten met de herstelopties voor e-mail of telefoon en er geen andere hoofdbeheerders beschikbaar zijn om het wachtwoord te resetten, kunnen ze de herstelwizard gebruiken.

Google vraagt de volgende informatie over het account van de organisatie, om de identiteit van de gebruiker te verifiëren:

  • De datum waarop het account is gemaakt.
  • Het oorspronkelijke secundaire e-mailadres dat is gekoppeld aan het account (het e-mailadres waarmee de organisatie is aangemeld).
  • Het Google-bestelnummer van het account (indien van toepassing).
  • Het aantal gemaakte gebruikersaccounts.
  • Het factuuradres van het account.
  • Het type en de laatste 4 cijfers van de gebruikte creditcard.

Google vraagt de beheerder ook het DNS-eigendom van het domein te bevestigen. De beheerder moet dus kunnen inloggen bij de registreerder om de DNS-instellingen van het domein te bewerken.

Uw beheerderswachtwoord resetten als de herstelopties voor e-mail en telefoon niet beschikbaar zijn

Schrijf een reservebeveiligingssleutel in

We raden beheerders aan meer dan één beveiligingssleutel in te schrijven voor hun beheerdersaccount en deze op een veilige plaats te bewaren. Als hun primaire beveiligingssleutel kwijtraakt of wordt gestolen, kunnen ze nog steeds inloggen op hun account.

Een beveiligingssleutel toevoegen aan uw account

Maak van tevoren back-upcodes

Als een beheerder zijn beveiligingssleutel of telefoon verliest (waarop hij een verificatiecode voor verificatie in 2 stappen of een Google-prompt kan ontvangen), kan hij inloggen met een back-upcode.

We raden beheerders aan back-upcodes te maken en af te drukken voor het geval ze deze nodig hebben. Bewaar de back-upcodes op een veilige plaats.

Back-upcodes maken en afdrukken

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu
14751982239196877627