Volg deze praktische tips om de beveiliging van uw beheerdersaccounts, en daardoor van uw bedrijf als geheel, te verbeteren.
Zie Beveiligingschecklists voor meer praktische beveiligingstips.
Beheerdersaccounts beveiligen
Vereis verificatie in 2 stappen voor beheerdersaccounts Als iemand het beheerderswachtwoord weet te achterhalen, kan verificatie in 2 stappen het account beschermen tegen ongeautoriseerde toegang. Het is met name belangrijk dat hoofdbeheerders verificatie in 2 stappen gebruiken, omdat ze met hun account toegang hebben tot alle bedrijfs- en werknemersgegevens in de organisatie. |
|
Gebruik beveiligingssleutels voor verificatie in 2 stappen Er zijn verschillende methoden voor verificatie in 2 stappen, zoals beveiligingssleutels, Google-prompts, Google Authenticator en back-upcodes. Beveiligingssleutels zijn kleine hardwareapparaten die worden gebruikt bij verificatie in meerdere stappen. Ze kunnen phishingaanvallen voorkomen en zijn de veiligste vorm van verificatie in 2 stappen. Uw bedrijf beveiligen met verificatie in 2 stappen: beveiligingssleutels |
|
Geef elke beheerder een eigen, identificeerbaar beheerdersaccount. Als meerdere mensen met hetzelfde beheerdersaccount (zoals beheerder@example.com) inloggen bij de Beheerdersconsole, kunt u niet zien welke beheerder bepaalde activiteiten in het controlelogboek heeft uitgevoerd. |
|
Uw organisatie beschermen tegen gerichte aanvallen U kunt veel van de aanbevelingen in dit artikel tegelijk toepassen door hoofdbeheerdersaccounts en andere gevoelige accounts in te schrijven voor het programma Geavanceerde beveiliging. Gebruikers beveiligen met het programma Geavanceerde beveiliging |
Hoofdbeheerdersaccounts beheren
Stel meerdere hoofdbeheerdaccounts in We raden organisaties aan meerdere hoofdbeheerdersaccounts te maken, die allemaal worden beheerd door een aparte persoon (deel beheerdersaccounts niet). Als een account wordt gehackt of als de gebruiker de inloggegevens vergeet, kan een andere hoofdbeheerder belangrijke taken uitvoeren terwijl het andere account wordt hersteld. |
|
Gebruik geen hoofdbeheerdersaccount voor dagelijkse taken Geef elke hoofdbeheerder 2 accounts: Een eigen hoofdbeheerdersaccount en een apart account voor dagelijkse taken. Gebruikers moeten alleen inloggen op het hoofdbeheerdersaccount om hoofdbeheerderstaken uit te voeren, zoals verificatie in 2 stappen instellen, de facturering en gebruikerslicenties beheren, of andere beheerders helpen hun account te herstellen. Hoofdbeheerders moeten een apart account dat geen beheerdersaccount is gebruiken voor dagelijkse activiteiten. Als Maria en James bijvoorbeeld hoofdbeheerders zijn, moeten ze elk een eigen hoofdbeheerdersaccount en een gebruikersaccount hebben:
|
|
Zorg dat u belangrijke mededelingen van beheerders krijgt Als u niet vaak inlogt op uw primaire beheerdersaccount, mist u mogelijk belangrijke verplichte mededelingen van Google. Zorg dat u deze mededelingen krijgt door een secundair e-mailcontact in te stellen. Zo worden deze meldingen naar een account gestuurd dat u regelmatig gebruikt. Meldingen over facturering en accounts naar een andere beheerder sturen |
|
Blijf niet ingelogd op een hoofdbeheerdersaccount Wanneer u bent ingelogd op een hoofdgebruikersaccount wanneer u geen specifieke beheertaken uitvoert, vergroot dit de kans op phishingaanvallen. We raden hoofdbeheerders aan alleen in te loggen als dat nodig is om specifieke taken uit te voeren en vervolgens weer uit te loggen. |
|
Gebruik beheerdersaccounts die geen hoofdbeheerdersaccounts zijn voor dagelijkse beheertaken Gebruik het hoofdbeheerdersaccount alleen als dit nodig is. Delegeer beheerderstaken aan gebruikersaccounts met beperkte beheerdersrollen. Gebruik het model met de minste rechten. Hiermee hebben gebruikers alleen toegang tot de resources en tools die ze nodig hebben voor hun specifieke taken. U kunt bijvoorbeeld een beheerder rechten geven om gebruikersaccounts te maken en wachtwoorden te resetten, maar niet om gebruikersaccounts te verwijderen. |
Activiteiten in beheerdersaccounts checken
Stel e-mailmeldingen voor beheerders in Check de beheeractiviteit en mogelijke beveiligingsrisico's door e-mailmeldingen voor beheerders in te stellen voor bepaalde gebeurtenissen, zoals verdachte inlogpogingen, gehackte mobiele apparaten of wanneer een andere beheerder instellingen wijzigt. Als u meldingen aanzet voor een activiteit, krijgt u een e-mail elke keer dat deze activiteit zich voordoet. E-mailmeldingen voor beheerders en door het systeem gedefinieerde regels |
|
Bekijk het controlelogboek voor beheerders In het controlelogboek voor beheerders ziet u de geschiedenis van elke taak die in de Google Beheerdersconsole is uitgevoerd, welke beheerder de taak heeft uitgevoerd, de datum en het IP-adres waarvandaan de beheerder is ingelogd. Activiteiten van hoofdbeheerders staan in de kolom Beschrijving gebeurtenis als _SEED_ADMIN_ROLE, gevolgd door de gebruikersnaam. |
Voorbereiden op herstel van beheerdersaccounts
Voeg herstelopties toe aan beheerdersaccounts Beheerders moeten herstelopties toevoegen aan hun beheerdersaccount. Als een beheerder het wachtwoord is vergeten, kan deze klikken op de link Hulp nodig? op de inlogpagina. Google stuurt dan een nieuw wachtwoord via telefoon, sms of e-mail. Hiervoor moet Google een hersteltelefoonnummer en herstelmailadres hebben voor het account. Opties voor accountherstel toevoegen aan uw beheerdersaccount |
|
Houd informatie bij de hand om wachtwoorden te resetten Als een hoofdbeheerder het wachtwoord niet kan resetten met de herstelopties voor e-mail of telefoon en er geen andere hoofdbeheerders beschikbaar zijn om het wachtwoord te resetten, kunnen ze de herstelwizard gebruiken. Google vraagt de volgende informatie over het account van de organisatie, om de identiteit van de gebruiker te verifiëren:
Google vraagt de beheerder ook het DNS-eigendom van het domein te bevestigen. De beheerder moet dus kunnen inloggen bij de registreerder om de DNS-instellingen van het domein te bewerken. Uw beheerderswachtwoord resetten als de herstelopties voor e-mail en telefoon niet beschikbaar zijn |
|
Schrijf een reservebeveiligingssleutel in We raden beheerders aan meer dan één beveiligingssleutel in te schrijven voor hun beheerdersaccount en deze op een veilige plaats te bewaren. Als hun primaire beveiligingssleutel kwijtraakt of wordt gestolen, kunnen ze nog steeds inloggen op hun account. |
|
Maak van tevoren back-upcodes Als een beheerder zijn beveiligingssleutel of telefoon verliest (waarop hij een verificatiecode voor verificatie in 2 stappen of een Google-prompt kan ontvangen), kan hij inloggen met een back-upcode. We raden beheerders aan back-upcodes te maken en af te drukken voor het geval ze deze nodig hebben. Bewaar de back-upcodes op een veilige plaats. |