Sprawdzone metody zabezpieczania kont administratorów

Postępuj zgodnie z opisanymi poniżej sprawdzonymi metodami, aby poprawić bezpieczeństwo kont administratorów, a co za tym idzie – całej swojej firmy.

Więcej opisów sprawdzonych metod dotyczących bezpieczeństwa znajdziesz w artykule Listy kontrolne zabezpieczeń.

Ochrona kont administratorów

Wymaganie stosowania weryfikacji dwuetapowej na kontach administratorów

Weryfikacja dwuetapowa pozwala zabezpieczyć konto administratora przed nieautoryzowanym dostępem, nawet jeśli nieuprawniona osoba zdobędzie hasło do takiego konta. Stosowanie weryfikacji dwuetapowej jest szczególnie ważne na kontach superadministratorów, ponieważ zapewniają one kontrolę nad wszystkimi danymi firmy i pracowników w organizacji.

Ochrona firmy dzięki weryfikacji dwuetapowej

Używanie kluczy bezpieczeństwa podczas weryfikacji dwuetapowej

Dostępnych jest kilka rodzajów weryfikacji dwuetapowej, na przykład stosowanie kluczy bezpieczeństwa, potwierdzeń od Google, aplikacji Google Authenticator lub kodów zapasowych. Klucze bezpieczeństwa to małe urządzenia, które zapewniają 2 składnik uwierzytelniania. Stanowią one najbezpieczniejszą formę weryfikacji dwuetapowej i chronią przed zagrożeniami związanymi z phishingiem.

Ochrona firmy dzięki weryfikacji dwuetapowej – Klucze bezpieczeństwa

Zakazywanie użytkownikom dzielenia się kontami administratorów

Każdy administrator powinien mieć własne, możliwe do zidentyfikowania konto. Jeśli kilka osób loguje się w konsoli administracyjnej, korzystając z tego samego konta administratora, takiego jak admin@example.com, nie da się stwierdzić, który administrator odpowiada za określone działania w dzienniku kontrolnym.

Zabezpieczanie przed atakami ukierunkowanymi

Możesz skorzystać z kilku opisanych w tym artykule metod jednocześnie, rejestrując konta superadministratorów i inne istotne konta w programie ochrony zaawansowanej.

Zabezpieczanie użytkowników za pomocą programu Ochrony zaawansowanej

Zarządzanie kontami superadministratorów

Skonfigurowanie kilku kont superadministratorów

Każda firma powinna mieć więcej niż 1 konto superadministratora, a każde z nich powinno należeć do innej osoby (należy unikać dzielenia się kontami administratorów). Jeśli jedno z takich kont zostanie utracone lub przejęte, inny superadministrator będzie mógł wykonywać ważne czynności administracyjne, zanim konto zostanie odzyskane.

Unikanie używania konta superadministratora podczas codziennych obowiązków

Każdy superadministrator powinien mieć 2 konta: 1 konto z rolą superadministratora i oddzielne konto do wykonywania codziennych obowiązków. Z konta superadministratora należy korzystać wyłącznie po to, aby wykonywać obowiązki superadministratora, takie jak konfigurowanie weryfikacji dwuetapowej, zarządzanie rozliczeniami i licencjami użytkowników czy pomaganie innym administratorom w odzyskiwaniu ich kont.

Wykonując codzienne obowiązki, superadministratorzy powinni korzystać z oddzielnego konta bez roli administratora.

Na przykład: jeśli Maria i Jakub są superadministratorami, powinni mieć po 1 możliwym do zidentyfikowania koncie z rolą administratora i po 1 oddzielnym koncie użytkownika:

  • admin-maria@example.com, maria@example.com;
  • admin-jakub@example.com, jakub@example.com.

Otrzymywanie ważnych powiadomień przeznaczonych dla administratorów

Jeśli rzadko logujesz się na konto administratora głównego, możesz przegapić obowiązkowe powiadomienia o usłudze wysyłane przez Google. Aby mieć pewność, że docierają do Ciebie wszystkie takie powiadomienia, podaj jako kontakt dodatkowy adres e-mail, z którego korzystasz regularnie.

Wysyłanie powiadomień o płatnościach i koncie do innego administratora

Wylogowywanie się z konta superadministratora

Pozostawanie zalogowanym na konto superadministratora, gdy nie jest to potrzebne, zwiększa ryzyko ataków phishingowych. Superadministratorzy powinni logować się na swoje konta tylko w celu wykonania odpowiedniej czynności, po czym powinni się wylogować.

Wykonywanie codziennych obowiązków administracyjnych przy użyciu kont bez roli superadministratora

Używaj konta superadministratora tylko wtedy, gdy jest to niezbędne. Wykonuj zadania administratora, korzystając z kont użytkowników z ograniczonymi rolami administratora. Korzystaj z kont o jak najmniejszych uprawnieniach, umożliwiających użytkownikom dostęp wyłącznie do zasobów i narzędzi niezbędnych do wykonywania ich typowych zadań. Możesz na przykład przyznać im uprawnienia administratora do tworzenia kont użytkowników i resetowania haseł, ale nie zezwalać im przy tym na usuwanie kont użytkowników.

Informacje o rolach administratora

Monitorowanie aktywności na kontach administratorów

Skonfigurowanie administracyjnych alertów e-mail

Aby monitorować aktywność na kontach administratorów i śledzić potencjalne zagrożenia, skonfiguruj alerty administracyjne e-mail dotyczące konkretnych zdarzeń, takich jak podejrzane próby logowania, przejęcia urządzeń mobilnych lub zmiany ustawień wprowadzone przez innego administratora.

Jeśli włączysz alert dla danej aktywności, będziesz otrzymywać e-maila za każdym razem, gdy ona wystąpi.

Alerty e-mail dla administratora i reguły zdefiniowane przez system

Przeglądanie dziennika kontrolnego administratora

W dzienniku kontrolnym administratora możesz przejrzeć historię wszystkich czynności wykonanych w konsoli administracyjnej Google, w tym informacje o tym, który administrator je wykonał, kiedy to nastąpiło oraz pod jakim adresem IP dokonano logowania na konto danego administratora.

Informacje na temat aktywności superadministratorów znajdują się w kolumnie Opis zdarzenia i są oznaczone tekstem _SEED_ADMIN_ROLE, po którym następuje nazwa użytkownika.

Dziennik kontrolny administratora

Przygotowywanie opcji odzyskiwania kont administratorów

Dodawanie opcji odzyskiwania do kont administratorów

Administratorzy powinni dodać opcje odzyskiwania do swoich kont.

Jeśli administrator zapomni hasła do swojego konta, może kliknąć link Potrzebujesz pomocy? na stronie logowania, aby otrzymać nowe hasło w powiadomieniu na telefonie, SMS-ie lub e-mailu. Wymaga to dodania do konta pomocniczego numeru telefonu i pomocniczego adresu e-mail.

Dodawanie opcji odzyskiwania na koncie administratora

Przechowywanie informacji potrzebnych do zresetowania hasła

Jeśli superadministrator nie jest w stanie zresetować swojego hasła przy użyciu opcji odzyskiwania przez e-mail lub telefon, a inny superadministrator, który mógłby w tym pomóc, nie jest dostępny, istnieje możliwość skorzystania z kreatora odzyskiwania.

Aby zweryfikować tożsamość superadministratora, Google zadaje pytania o informacje związane z kontem organizacji:

  • data utworzenia konta,
  • oryginalny pomocniczy adres e-mail powiązany z kontem (adres użyty podczas rejestracji),
  • numer zamówienia Google powiązany z kontem (jeśli został udostępniony),
  • liczba utworzonych kont użytkowników,
  • adres rozliczeniowy podany na koncie,
  • typ używanej karty kredytowej i cztery ostatnie cyfry jej numeru.

Google może też poprosić administratora o zweryfikowanie własności domeny przez zmianę rekordów DNS. Administrator powinien znać dane logowania umożliwiające edytowanie ustawień DNS domeny w systemie jej rejestratora.

Resetowanie hasła administratora – Jeśli opcje związane z pocztą e-mail i telefonem są niedostępne

Rejestrowanie zapasowego klucza bezpieczeństwa

Administratorzy powinni zarejestrować więcej niż 1 klucz bezpieczeństwa na swoim koncie i przechowywać ten dodatkowy klucz w bezpiecznym miejscu. Jeśli pierwszy klucz zostanie zgubiony lub skradziony, administrator nadal będzie mógł uzyskać dostęp do swojego konta.

Dodawanie klucza bezpieczeństwa do konta

Wcześniejsze zapisywanie kodów zapasowych

Jeśli administrator utraci klucz bezpieczeństwa lub telefon (używany do otrzymywania kodu weryfikacji dwuetapowej lub powiadomienia od Google), może skorzystać z kodu zapasowego, aby się zalogować.

Administratorzy powinni wygenerować i wydrukować kody zapasowe, które umożliwiają odzyskanie dostępu do konta. Takie kody należy przechowywać w bezpiecznym miejscu.

Logowanie się za pomocą kodów zapasowych

Powiązane artykuły

Czy to było pomocne?

Jak możemy ją poprawić?
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne