Postępuj zgodnie z opisanymi poniżej sprawdzonymi metodami, aby poprawić bezpieczeństwo kont administratorów, a co za tym idzie – całej swojej firmy.
Więcej opisów sprawdzonych metod dotyczących bezpieczeństwa znajdziesz w artykule Listy kontrolne zabezpieczeń.
Ochrona kont administratorów
Wymaganie stosowania weryfikacji dwuetapowej na kontach administratorów Weryfikacja dwuetapowa pozwala zabezpieczyć konto administratora przed nieautoryzowanym dostępem, nawet jeśli nieuprawniona osoba zdobędzie hasło do takiego konta. Stosowanie weryfikacji dwuetapowej jest szczególnie ważne na kontach superadministratorów, ponieważ zapewniają one kontrolę nad wszystkimi danymi firmy i pracowników w organizacji. |
|
Używanie kluczy bezpieczeństwa podczas weryfikacji dwuetapowej Dostępnych jest kilka rodzajów weryfikacji dwuetapowej, na przykład stosowanie kluczy bezpieczeństwa, potwierdzeń od Google, aplikacji Google Authenticator lub kodów zapasowych. Klucze bezpieczeństwa to małe urządzenia, które zapewniają 2 składnik uwierzytelniania. Stanowią one najbezpieczniejszą formę weryfikacji dwuetapowej i chronią przed zagrożeniami związanymi z phishingiem. Ochrona firmy dzięki weryfikacji dwuetapowej – Klucze bezpieczeństwa |
|
Zakazywanie użytkownikom dzielenia się kontami administratorów Każdy administrator powinien mieć własne, możliwe do zidentyfikowania konto. Jeśli kilka osób loguje się w konsoli administracyjnej, korzystając z tego samego konta administratora, takiego jak admin@example.com, nie da się stwierdzić, który administrator odpowiada za określone działania w dzienniku kontrolnym. |
|
Zabezpieczanie przed atakami ukierunkowanymi Możesz skorzystać z kilku opisanych w tym artykule metod jednocześnie, rejestrując konta superadministratorów i inne istotne konta w programie ochrony zaawansowanej. Zabezpieczanie użytkowników za pomocą programu Ochrony zaawansowanej |
Zarządzanie kontami superadministratorów
Skonfigurowanie kilku kont superadministratorów Każda firma powinna mieć więcej niż 1 konto superadministratora, a każde z nich powinno należeć do innej osoby (należy unikać dzielenia się kontami administratorów). Jeśli jedno z takich kont zostanie utracone lub przejęte, inny superadministrator będzie mógł wykonywać ważne czynności administracyjne, zanim konto zostanie odzyskane. |
|
Unikanie używania konta superadministratora podczas codziennych obowiązków Każdy superadministrator powinien mieć 2 konta: 1 konto z rolą superadministratora i oddzielne konto do wykonywania codziennych obowiązków. Z konta superadministratora należy korzystać wyłącznie po to, aby wykonywać obowiązki superadministratora, takie jak konfigurowanie weryfikacji dwuetapowej, zarządzanie rozliczeniami i licencjami użytkowników czy pomaganie innym administratorom w odzyskiwaniu ich kont. Wykonując codzienne obowiązki, superadministratorzy powinni korzystać z oddzielnego konta bez roli administratora. Na przykład: jeśli Maria i Jakub są superadministratorami, powinni mieć po 1 możliwym do zidentyfikowania koncie z rolą administratora i po 1 oddzielnym koncie użytkownika:
|
|
Otrzymywanie ważnych powiadomień przeznaczonych dla administratorów Jeśli rzadko logujesz się na konto administratora głównego, możesz przegapić obowiązkowe powiadomienia o usłudze wysyłane przez Google. Aby mieć pewność, że docierają do Ciebie wszystkie takie powiadomienia, podaj jako kontakt dodatkowy adres e-mail, z którego korzystasz regularnie. Wysyłanie powiadomień o płatnościach i koncie do innego administratora |
|
Wylogowywanie się z konta superadministratora Pozostawanie zalogowanym na konto superadministratora, gdy nie jest to potrzebne, zwiększa ryzyko ataków phishingowych. Superadministratorzy powinni logować się na swoje konta tylko w celu wykonania odpowiedniej czynności, po czym powinni się wylogować. |
|
Wykonywanie codziennych obowiązków administracyjnych przy użyciu kont bez roli superadministratora Używaj konta superadministratora tylko wtedy, gdy jest to niezbędne. Wykonuj zadania administratora, korzystając z kont użytkowników z ograniczonymi rolami administratora. Korzystaj z kont o jak najmniejszych uprawnieniach, umożliwiających użytkownikom dostęp wyłącznie do zasobów i narzędzi niezbędnych do wykonywania ich typowych zadań. Możesz na przykład przyznać im uprawnienia administratora do tworzenia kont użytkowników i resetowania haseł, ale nie zezwalać im przy tym na usuwanie kont użytkowników. |
Monitorowanie aktywności na kontach administratorów
Skonfigurowanie administracyjnych alertów e-mail Aby monitorować aktywność na kontach administratorów i śledzić potencjalne zagrożenia, skonfiguruj alerty administracyjne e-mail dotyczące konkretnych zdarzeń, takich jak podejrzane próby logowania, przejęcia urządzeń mobilnych lub zmiany ustawień wprowadzone przez innego administratora. Jeśli włączysz alert dla danej aktywności, będziesz otrzymywać e-maila za każdym razem, gdy ona wystąpi. Alerty e-mail dla administratora i reguły zdefiniowane przez system |
|
Przeglądanie dziennika kontrolnego administratora W dzienniku kontrolnym administratora możesz przejrzeć historię wszystkich czynności wykonanych w konsoli administracyjnej Google, w tym informacje o tym, który administrator je wykonał, kiedy to nastąpiło oraz pod jakim adresem IP dokonano logowania na konto danego administratora. Informacje na temat aktywności superadministratorów znajdują się w kolumnie Opis zdarzenia i są oznaczone tekstem _SEED_ADMIN_ROLE, po którym następuje nazwa użytkownika. |
Przygotowywanie opcji odzyskiwania kont administratorów
Dodawanie opcji odzyskiwania do kont administratorów Administratorzy powinni dodać opcje odzyskiwania do swoich kont. Jeśli administrator zapomni hasła do swojego konta, może kliknąć link Potrzebujesz pomocy? na stronie logowania, aby otrzymać nowe hasło w powiadomieniu na telefonie, SMS-ie lub e-mailu. Wymaga to dodania do konta pomocniczego numeru telefonu i pomocniczego adresu e-mail. |
|
Przechowywanie informacji potrzebnych do zresetowania hasła Jeśli superadministrator nie jest w stanie zresetować swojego hasła przy użyciu opcji odzyskiwania przez e-mail lub telefon, a inny superadministrator, który mógłby w tym pomóc, nie jest dostępny, istnieje możliwość skorzystania z kreatora odzyskiwania. Aby zweryfikować tożsamość superadministratora, Google zadaje pytania o informacje związane z kontem organizacji:
Google może też poprosić administratora o zweryfikowanie własności domeny przez zmianę rekordów DNS. Administrator powinien znać dane logowania umożliwiające edytowanie ustawień DNS domeny w systemie jej rejestratora. Resetowanie hasła administratora – Jeśli opcje związane z pocztą e-mail i telefonem są niedostępne |
|
Rejestrowanie zapasowego klucza bezpieczeństwa Administratorzy powinni zarejestrować więcej niż 1 klucz bezpieczeństwa na swoim koncie i przechowywać ten dodatkowy klucz w bezpiecznym miejscu. Jeśli pierwszy klucz zostanie zgubiony lub skradziony, administrator nadal będzie mógł uzyskać dostęp do swojego konta. |
|
Wcześniejsze zapisywanie kodów zapasowych Jeśli administrator utraci klucz bezpieczeństwa lub telefon (używany do otrzymywania kodu weryfikacji dwuetapowej lub powiadomienia od Google), może skorzystać z kodu zapasowego, aby się zalogować. Administratorzy powinni wygenerować i wydrukować kody zapasowe, które umożliwiają odzyskanie dostępu do konta. Takie kody należy przechowywać w bezpiecznym miejscu. |