請按照下列最佳做法提升管理員帳戶的安全性,進而確保貴公司的整體安全。
如需更多安全性最佳做法,請參閱安全性檢查清單。
保護管理員帳戶
|
|
規定管理員帳戶必須使用兩步驟驗證 即使有人設法取得了管理員密碼,兩步驟驗證 (2SV) 也可防止帳戶在未經授權的情況下遭到存取。由於超級管理員的帳戶可控管機構中所有業務資料和員工資料的存取權,因此使用兩步驟驗證對這類帳戶而言格外重要。 |
 |
使用安全金鑰進行兩步驟驗證 您可以透過多種方式進行兩步驟驗證,包括安全金鑰、Google 提示、Google Authenticator 和備用碼。安全金鑰是用於雙重驗證的小型硬體裝置;這是最為安全的兩步驟驗證形式,可協助您防範網路詐騙威脅。 |
|
請給予每位管理員可辨識其身分的管理員帳戶。否則,如果多位使用者透過同一管理員帳戶 (例如 admin@example.com) 登入管理控制台,您將無法分辨哪位管理員負責稽核記錄中的特定活動。 |
|
防範針對性攻擊 只要在進階保護計畫中註冊超級管理員帳戶和其他機密帳戶,您就可以一次執行本文中的許多建議。 |
控管超級管理員帳戶
|
|
設定多個超級管理員帳戶 貴機構應該要有多個超級管理員帳戶,並分別交由不同人員控管 (避免共用管理員帳戶)。這樣一來,如有任何超級管理員失去帳戶存取權或發現帳戶遭駭,在等待該帳戶復原期間,其他超級管理員仍可處理重要工作。 |
|
不要使用超級管理員帳戶從事日常活動 請給予每位超級管理員 2 個帳戶:一個是他們自己的超級管理員帳戶,另一個是用於執行日常活動的帳戶。使用者應該只在需要執行超級管理員工作 (例如設定兩步驟驗證 (2SV)、管理帳單及使用者授權,或是協助其他管理員復原帳戶) 時,才登入超級管理員帳戶。 超級管理員平時應透過其他非管理員帳戶執行日常活動。 舉例來說,如果 Maria 和 James 都是超級管理員,他們每人都應具有使用者帳戶和便於辨識身分的管理員帳戶,具體如下:
|
|
確保您能接收重要的管理員公告 如果您不常登入主要管理員帳戶,可能會錯過 Google 傳送的重大服務公告。為了確保您能收到這些公告,請設定次要電子郵件聯絡人,以便將這些公告傳送至您經常使用的帳戶。 |
|
不要將超級管理員帳戶保持在登入狀態 並未執行特定管理工作卻將超級管理員帳戶保持在登入狀態,可能會提高遭受網路詐騙攻擊的風險。超級管理員應該只在需要處理特定工作時才登入,工作完成後就要立即登出。 |
|
使用非超級管理員帳戶執行日常管理員工作 只在需要時使用超級管理員帳戶。將管理員工作委派給具備有限管理員角色的使用者帳戶。使用最低權限方法,讓每位使用者只能取得執行自身工作所需的資源和工具。舉例來說,您可以授予管理員建立使用者帳戶及重設密碼的權限,但不允許管理員刪除使用者帳戶。 |
監控管理員帳戶的活動
|
|
設定管理員電子郵件快訊 如要監控管理員活動及追蹤潛在安全性風險,您可以針對特定事件設定管理員電子郵件快訊,例如發生可疑的登入嘗試行為、行動裝置遭駭,或是其他管理員所做的變更。 針對特定活動開啟快訊功能後,只要發生這類活動,您就會收到電子郵件。 |
|
檢閱管理員稽核記錄 使用管理員稽核記錄查看透過 Google 管理控制台執行的每一項工作、執行工作的管理員、工作執行日期,以及管理員登入時使用的 IP 位址等。 超級管理員的活動會在「活動說明」一欄顯示 _SEED_ADMIN_ROLE,後面接上相關的使用者名稱。 |
預先為管理員帳戶救援功能做好準備
|
|
新增管理員帳戶救援選項 管理員應在自己的管理員帳戶中新增救援選項。 管理員如果忘記自己的密碼,只要按一下登入頁面上的 [需要協助嗎?] 連結,就會收到 Google 透過電話、簡訊或電子郵件寄出的新密碼。為了在必要時使用這項功能,Google 需要管理員為帳戶提供備援電話號碼和電子郵件地址。 |
|
備妥重設密碼所需的資訊 超級管理員如果無法自行透過電子郵件或電話號碼等救援選項重設密碼,也找不到另一位超級管理員代為重設密碼,可選擇使用救援精靈。 為了驗證身分,Google 會詢問下列與機構帳戶相關的資訊:
Google 也會要求管理員驗證網域的 DNS 擁有權,因此管理員必須擁有所需憑證,才能配合註冊商編輯網域 DNS 設定。 |
|
註冊備用的安全金鑰 管理員應為管理員帳戶註冊多個安全金鑰,並妥善存放在安全的地方。這麼一來,即使主要的安全金鑰遺失或遭竊,管理員仍可登入自己的帳戶。 |
|
事先儲存備用碼 如果管理員遺失自己的安全金鑰或是用來接收兩步驟驗證碼或 Google 提示的手機,還可以利用備用碼登入。 管理員應事先建立備用碼並列印出來,以備不時之需。請將備用碼存放在安全的地方。 |
