Metodtips för säkerhet för administratörskonton

Följ de här metodtipsen för att förbättra säkerheten för dina administratörskonton – och i förlängningen för hela företaget.

Skydda administratörskonton

Kräv en andra autentiseringsfaktor för administratörskonton

Om någon lyckas få administratörslösenordet bidrar 2-stegsverifiering (2SV) till att skydda kontot från obehörig åtkomst. Det är särskilt viktigt att avancerade administratörer använder 2SV eftersom deras konton kontrollerar åtkomst till all företags- och medarbetardata i organisationen.

Använd säkerhetsnycklar för 2-stegsverifiering

Det finns flera 2SV-metoder, inklusive säkerhetsnycklar, meddelande från Google, Google Authenticator och reservkoder. Säkerhetsnycklar är små maskinvaruenheter som används för tvåfaktorsautentisering. De bidrar till att motverka nätfiskehot och är den säkraste formen av 2SV.

Använd inte ett konto som avancerad administratör för dagliga aktiviteter

Avancerade administratörer kan hantera alla aspekter av ditt företagskonto och återställa en annan användares lösenord.

Avancerade administratörer ska använda ett separat användarkonto för dagliga aktiviteter. De ska bara logga in på sitt avancerade administratörskonto när de behöver utföra specifika uppgifter som avancerad administratör, exempelvis konfigurera 2SV eller hjälpa en annan administratör att återställa deras konto.

Var inte inloggad på ett konto som avancerad administratör

Att vara inloggad på ett konto som avancerad administratör när du inte utför specifika administrativa uppgifter kan öka exponeringen för nätfiskeattacker. Avancerade administratörer ska logga in efter behov för att utföra specifika uppgifter och sedan logga ut.

Hantera avancerade administratörskonton

Konfigurera flera avancerade administratörskonton

Ett företag ska ha mer än ett avancerat administratörskonto som vart och ett hanteras av en separat person. Om åtkomsten till ett konto förloras eller äventyras kan en annan avancerad administratör utföra viktiga uppgifter medan det andra kontot återställs.

Skapa konton som avancerad administratör per användare

Om det finns flera avancerade administratörer och var och en använder admin@exempel.com för att logga in kan du inte se vilken avancerad administratör som ansvarar för aktiviteterna i granskningsloggen. Varje avancerad administratör ska ha ett identifierbart administratörskonto.

Om exempelvis Maria och James är avancerade administratörer ska de ha konton som avancerade administratörer och användarkonton per användare:

  • admin-maria@exempel.com, maria@exempel.com
  • admin-james@exempel.com, james@exempel.com
Delegera dagliga administrativa uppgifter till användarkonton

Uppmuntra till att ett konto som avancerad administratör enbart används vid behov genom att delegera normala dagliga administrativa uppgifter till användarkonton. Du kan till exempel delegera en återkommande aktivitet som att återställa lösenord till ett användarkonto men bara tillåta avancerade administratörer att radera ett konto.

När du delegerar administratörsbehörigheter använder du modellen med lägsta behörighet. I en modell med lägsta behörighet har varje administratör endast åtkomst till de resurser och verktyg de behöver för sina normala uppgifter på det dagliga kontot.

Övervaka aktivitet på administratörskonton

Konfigurera e-postvarningar för administratör

Övervaka administratörsaktivitet och spåra potentiella säkerhetsrisker genom att konfigurera e-postvarningar för administratörer för vissa händelser, som misstänkta inloggningsförsök, mobila enheter som utsatts för intrång eller ändringar av en annan administratör.

När du aktiverar en varning för en aktivitet får du ett e-postmeddelande varje gång den aktiviteten sker.

Kontrollera administratörsgranskningsloggen

Administratörsgranskningsloggen är ett annat verktyg för att övervaka administratörsaktivitet. Administratörsgranskningsloggen visar historik över alla utförda uppgifter i Googles administratörskonsol, vilken administratör som utfört uppgiften samt IP-adressen som administratören loggade in från.

Aktivitet från den avancerade administratören visas i kolumnen Händelsebeskrivning som _SEED_ADMIN_ROLE, följt av användarnamnet.

Förberedelse för återställning av administratörskonto

Lägg till återställningsalternativ för administratörskonton

Administratörer ska lägga till återställningsalternativ i sitt administratörskonto.

Om en administratör glömmer sitt lösenord kan de klicka på länken Behöver du hjälp? på inloggningssidan så skickar Google ett nytt lösenord via telefon, sms eller e-post. För att göra det behöver Google ett återställningsnummer och en e-postadress för kontot.

Samla information för återställning av lösenord

Om en avancerad administratör inte kan återställa sitt lösenord med hjälp av alternativ för e-post eller mobil och en annan avancerad administratör inte kan återställa lösenordet, kan de kontakta Googles support.

Google ställer frågor om organisationens konto för att verifiera identiteten:

  • datumet då som kontot skapades
  • ursprunglig sekundär e-postadress som är kopplad till konto t(e-postadressen som användes vid registreringen)
  • Google-ordernummer som är kopplat till kontot (om tillämpligt)
  • antal användarkonton som skapats
  • faktureringsadressen som är kopplad till kontot
  • typ av kreditkort som används och de fyra sista siffrorna på kortet.

Google ber också administratören att verifiera DNS-ägande för domänen och därför måste administratören ha behörighet att redigera DNS-inställningarna för domänen hos registraren.

Registrera en extra säkerhetsnyckel

Administratörer ska registrera mer än en säkerhetsnyckel för sitt administratörskonto och lagra den på ett säkert ställe. Om deras primära säkerhetsnyckel försvinner eller blir stulen, kan de fortfarande logga in på sitt konto.

Spara reservkoder i förtid

Om en administratör förlorar sin säkerhetsnyckel eller mobil (där han eller hon tar emot en 2SV-verifieringskod eller ett meddelande från Google) kan administratören använda en säkerhetskod för att logga in.

Administratörer ska skapa och skriva ut reservkoder vid behov. Förvara reservkoderna på ett säkert ställe.

Konfigurera en extra administratör

Om en administratör inte kan logga in på sitt administratörskonto kan en annan administratör skapa en reservkod så att han eller hon kan logga in med 2SV.

Var det här till hjälp?
Hur kan vi förbättra den?