ทำตามแนวทางปฏิบัติแนะนำเหล่านี้เพื่อเพิ่มความปลอดภัยของบัญชีผู้ดูแลระบบและรวมถึงธุรกิจของคุณในภาพรวม
โปรดดูแนวทางปฏิบัติแนะนําด้านความปลอดภัยเพิ่มเติมที่หัวข้อรายการตรวจสอบความปลอดภัย
ปกป้องบัญชีผู้ดูแลระบบ
|
|
กำหนดให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชีผู้ดูแลระบบ หากมีผู้อื่นรู้รหัสผ่านของผู้ดูแลระบบ การยืนยันแบบ 2 ขั้นตอน (2SV) จะช่วยปกป้องบัญชีจากการเข้าถึงโดยไม่ได้รับอนุญาต สิ่งสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบขั้นสูงคือการใช้ 2SV เนื่องจากบัญชีของตนสามารถควบคุมการเข้าถึงข้อมูลทางธุรกิจและพนักงานทั้งหมดในองค์กรได้ |
 |
ใช้คีย์ความปลอดภัยสำหรับการยืนยันแบบ 2 ขั้นตอน มีวิธีการใช้ 2SV หลายวิธีซึ่งประกอบด้วยคีย์ความปลอดภัย, Google Prompt, Google Authenticator และรหัสสำรอง โดยคีย์ความปลอดภัยเป็นอุปกรณ์ฮาร์ดแวร์ขนาดเล็กที่ใช้สำหรับการตรวจสอบสิทธิ์จากปัจจัยที่ 2 ซึ่งช่วยป้องกันภัยคุกคามแบบฟิชชิงและเป็นการยืนยันแบบ 2 ขั้นตอนชนิดที่ปลอดภัยที่สุด ปกป้องธุรกิจของคุณด้วยการยืนยันแบบ 2 ขั้นตอน – คีย์ความปลอดภัย |
|
อย่าแชร์บัญชีผู้ดูแลระบบกับผู้ใช้ มอบบัญชีที่ระบุตัวตนได้ให้ผู้ดูแลระบบแต่ละคน เพราะหากมีหลายคนลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบโดยใช้บัญชีเดียวกัน เช่น admin@example.com คุณจะไม่สามารถระบุได้ว่าผู้ดูแลระบบรายใดเป็นคนทำกิจกรรมนั้นๆ ในบันทึกการตรวจสอบ |
|
ป้องกันการโจมตีแบบเจาะจงเป้าหมาย คุณสามารถใช้คําแนะนําทั้งหลายในบทความนี้พร้อมๆ กันได้โดยการลงทะเบียนบัญชีผู้ดูแลระบบขั้นสูงและบัญชีที่ละเอียดอ่อนอื่นๆ ในโปรแกรมการปกป้องขั้นสูง |
จัดการบัญชีผู้ดูแลระบบขั้นสูง
|
|
ตั้งค่าบัญชีผู้ดูแลระบบขั้นสูงหลายบัญชี องค์กรของคุณควรมีบัญชีผู้ดูแลระบบขั้นสูงมากกว่า 1 บัญชี โดยแต่ละบัญชีจะจัดการโดยบุคคลที่ไม่ใช่คนเดียวกัน (หลีกเลี่ยงการแชร์บัญชีผู้ดูแลระบบ) หากบัญชีใดสูญหายหรือถูกบุกรุก ผู้ดูแลระบบขั้นสูงอีกคนจะทำงานสำคัญแทนได้ในระหว่างที่กู้คืนบัญชี |
|
อย่าใช้บัญชีผู้ดูแลระบบขั้นสูงสำหรับกิจกรรมประจำวัน มอบบัญชี 2 บัญชีให้ผู้ดูแลระบบขั้นสูงแต่ละคน โดยบัญชีแรกคือบัญชีผู้ดูแลระบบขั้นสูง ส่วนอีกบัญชีมีไว้สำหรับกิจกรรมประจำวัน ผู้ใช้ควรลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงเพื่อทำงานของผู้ดูแลระบบขั้นสูงเท่านั้น เช่น การตั้งค่าการยืนยันแบบ 2 ขั้นตอน (2SV), จัดการการเรียกเก็บเงินและใบอนุญาตผู้ใช้ หรือช่วยผู้ดูแลระบบรายอื่นกู้คืนบัญชี ส่วนกิจกรรมประจำวัน ควรใช้บัญชีแยกอีกอันที่ไม่ใช่บัญชีผู้ดูแลระบบ เช่น หากมาเรียและเจมส์เป็นผู้ดูแลระบบขั้นสูง ทั้งคู่ควรมีบัญชีผู้ดูแลระบบที่ระบุได้ว่าเป็นของใคร 1 บัญชีและบัญชีผู้ใช้ 1 บัญชี ดังนี้
|
|
ตรวจสอบว่าคุณได้รับการแจ้งเตือนที่สําคัญของผู้ดูแลระบบ หากคุณไม่ค่อยลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบหลักบ่อยนัก คุณอาจพลาดประกาศสำคัญเกี่ยวกับการให้บริการที่จําเป็นจาก Google ได้ โปรดตั้งค่าอีเมลรองเพื่อส่งประกาศไปยังบัญชีที่คุณใช้เป็นประจําเพื่อให้มั่นใจว่าคุณจะได้รับประกาศเหล่านี้ ส่งการแจ้งเตือนเรื่องการเรียกเก็บเงินและบัญชีให้กับผู้ดูแลระบบรายอื่น |
|
อย่าลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้ การลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้เมื่อคุณไม่ได้ดำเนินการด้านการดูแลระบบที่เฉพาะเจาะจงอาจเป็นการเพิ่มความเสี่ยงต่อการโจมตีโดยฟิชชิง ผู้ดูแลระบบขั้นสูงควรลงชื่อเข้าใช้เมื่อจำเป็นต้องทำงานบางอย่าง จากนั้นให้ออกจากระบบ |
|
ใช้บัญชีผู้ดูแลระบบที่ไม่ใช่ขั้นสูงสําหรับงานของผู้ดูแลระบบประจําวัน โปรดใช้บัญชีผู้ดูแลระบบขั้นสูงเมื่อจําเป็นเท่านั้น มอบสิทธิ์ผู้ดูแลระบบให้กับบัญชีผู้ใช้ที่มีบทบาทผู้ดูแลระบบแบบจํากัด ใช้แนวทางการให้สิทธิ์ขั้นต่ำที่สุด โดยผู้ใช้แต่ละรายจะมีสิทธิ์เข้าถึงทรัพยากรและเครื่องมือที่จําเป็นสําหรับการทํางานทั่วไป เช่น ให้สิทธิ์ผู้ดูแลระบบในการสร้างบัญชีผู้ใช้และรีเซ็ตรหัสผ่าน แต่ไม่ให้สิทธิ์ลบบัญชี |
ตรวจสอบกิจกรรมในบัญชีผู้ดูแลระบบ
|
|
ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบ ตรวจสอบกิจกรรมของผู้ดูแลระบบและติดตามความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยตั้งการแจ้งเตือนทางอีเมลของผู้ดูแลระบบเมื่อเกิดเหตุการณ์บางอย่าง เช่น มีการลงชื่อเข้าใช้ที่น่าสงสัย อุปกรณ์เคลื่อนที่ถูกบุกรุก หรือเมื่อผู้ดูแลระบบรายอื่นทำการเปลี่ยนแปลงใดๆ เมื่อคุณเปิดการแจ้งเตือนสำหรับกิจกรรม คุณจะได้รับอีเมลทุกครั้งที่กิจกรรมเกิดขึ้น |
|
ตรวจดูบันทึกการตรวจสอบของผู้ดูแลระบบ ใช้บันทึกการตรวจสอบของผู้ดูแลระบบเพื่อดูประวัติของงานทั้งหมดที่ดำเนินการในคอนโซลผู้ดูแลระบบของ Google ว่าผู้ดูแลระบบรายใดเป็นผู้ปฏิบัติ วันที่ และที่อยู่ IP ที่ผู้ดูแลระบบลงชื่อเข้าใช้ กิจกรรมที่ผู้ดูแลระบบขั้นสูงทำจะปรากฏในคอลัมน์คำอธิบายกิจกรรมเป็น _SEED_ADMIN_ROLE ตามด้วยชื่อผู้ใช้ |
เตรียมการกู้คืนบัญชีผู้ดูแลระบบ
|
|
เพิ่มตัวเลือกการกู้คืนสำหรับบัญชีผู้ดูแลระบบ ผู้ดูแลระบบควรเพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของตน ผู้ดูแลระบบสามารถคลิกลิงก์หากต้องการความช่วยเหลือในหน้าลงชื่อเข้าใช้เพื่อให้ Google ส่งรหัสผ่านใหม่ให้ทางโทรศัพท์ ข้อความ หรืออีเมลได้หากตนเองลืมรหัสผ่าน Google จึงจำเป็นต้องมีหมายเลขโทรศัพท์และอีเมลผู้ดูแลระบบของบัญชีนี้ |
|
เก็บข้อมูลบัญชีไว้ให้พร้อมสำหรับการรีเซ็ตรหัสผ่าน หากผู้ดูแลระบบขั้นสูงไม่สามารถรีเซ็ตรหัสผ่านของตนโดยใช้ตัวเลือกการกู้คืนทางอีเมลหรือโทรศัพท์ และผู้ดูแลระบบขั้นสูงรายอื่นก็รีเซ็ตรหัสผ่านไม่ได้เช่นกัน ให้ผู้ดูแลระบบทั้งสองใช้วิซาร์ดการกู้คืน Google จะถามคำถามเกี่ยวกับบัญชีขององค์กรดังนี้เพื่อยืนยันตัวตน
นอกจากนี้ Google ยังขอให้ผู้ดูแลระบบยืนยันความเป็นเจ้าของ DNS ของโดเมนด้วย ดังนั้นผู้ดูแลระบบจึงต้องมีข้อมูลเข้าสู่ระบบเพื่อแก้ไขการตั้งค่า DNS ของโดเมนกับผู้รับจดทะเบียนของตน รีเซ็ตรหัสผ่านของผู้ดูแลระบบ - หากไม่มีตัวเลือกอีเมลและโทรศัพท์ |
|
ลงทะเบียนคีย์ความปลอดภัยสำรอง ผู้ดูแลระบบควรลงทะเบียนคีย์ความปลอดภัยมากกว่า 1 คีย์เพื่อใช้สำหรับบัญชีผู้ดูแลระบบและควรเก็บไว้ในที่ที่ปลอดภัย หากคีย์ความปลอดภัยหลักสูญหายหรือถูกขโมย พวกเขาจะยังคงลงชื่อเข้าใช้บัญชีได้ |
|
บันทึกรหัสสำรองล่วงหน้า หากผู้ดูแลระบบลืมรหัสรักษาความปลอดภัยหรือโทรศัพท์ (ที่พวกเขาได้รับรหัสยืนยัน 2SV หรือ Google Prompt) ผู้ดูแลระบบจะใช้รหัสสำรองในการลงชื่อเข้าใช้ได้ ผู้ดูแลระบบควรสร้างและพิมพ์รหัสสำรองเผื่อไว้ใช้ในกรณีที่จำเป็น และเก็บรหัสสำรองไว้ในที่ปลอดภัย |
