高级保护功能可帮助您保护可能成为攻击目标的用户,例如:
- Google Workspace 和 Cloud Identity 超级用户或受委托的管理员
- 政治活动者
- 活动家群体
- 名人
- 记者
- 商业领袖
- 通过加密货币交易的公司
- 律师事务所
定向攻击可能是少量的、精心策划的网上诱骗攻击,经常针对个体进行量身设计,人们可能很难将其与合法活动加以区分。正因为这些特点,定向攻击可谓最难防范。高级保护计划专门用于遏制针对 Google 帐号的定向在线攻击。
什么是高级保护计划?
高级保护计划旨在保护 Google 帐号免受定向在线攻击。该计划适用于个人 Google 帐号和企业 Google 帐号。高级保护计划为已注册的帐号提供一系列高安全度的精选政策。我们可能还会向高级保护计划添加其他政策,以确保这些保护机制是最新的。
您可以同时应用高级保护功能的所有保护政策,并覆盖您可能已手动配置的类似设置。这些政策包括:
- 含安全密钥的强大身份验证功能
- 根据需要使用含安全密钥的安全代码
- 限制第三方对帐号数据的访问
- Gmail 深度扫描
- Chrome 中的 Google 安全浏览保护机制(当用户使用他们在高级保护计划中的身份登录 Chrome 时)
- 通过管理员恢复帐号
高级保护计划安全政策
注册高级保护计划的用户受以下安全政策保护:
- 含安全密钥的强大身份验证功能。高级保护计划强制要求用户使用安全密钥进行登录。它采用两步验证政策。您无需单独配置两步验证政策,如果您已同时配置两步验证和高级保护计划,则系统会优先采用高级保护计划设置。即使网域使用的是第三方身份提供商 (IdP),系统也会强制要求使用安全密钥。用户需要在注册高级保护计划时注册密钥。
- 根据需要使用含安全密钥的安全代码。如果您的用户使用的平台或浏览器自身不支持安全密钥(例如 Microsoft Internet Explorer),则可允许用户通过特殊的一次性安全代码登录并进行身份验证。用户只能在支持安全密钥的设备和浏览器上生成此代码(例如 Chrome)。
使用含安全密钥的安全代码会降低安全性。不过,您的单位可能存在某些重要的工作流程,其中无法直接使用安全密钥,此时安全代码就变得必不可少。尽管使用含安全密钥的安全代码不是最安全的选择,但仍好于不使用安全密钥。
您可以通过安全代码选项控制用户生成的安全代码。这些选项可让用户在便捷与安全之间做出权衡。如需了解详情,请转到允许用户注册加入高级保护计划。
- 限制第三方对帐号数据的访问。涉及高风险作用域的应用会被屏蔽,除非此应用被管理员明确信任,或位于默认的受信任应用列表中。
适用于高级保护功能的默认受信任应用包括:
- Google 原生应用
- Apple 原生 iOS 应用
- macOS 上的 Apple“邮件”
- Mozilla Thunderbird
- Gmail 深度扫描。对于收到的电子邮件,系统会自动启用增强型递送前邮件扫描功能,以识别网上诱骗行为。此外,对于企业用户,系统会启用安全沙盒功能,对附件进行深度扫描,以检查其中是否包含未知恶意软件。
- Chrome 中的 Google 安全浏览保护机制。降低用户在 Google Chrome 中下载内容时的风险当用户使用他们在高级保护计划中的身份登录 Chrome 后,如果 Google 安全浏览无法验证文件是否安全,用户将会收到警告。此警告会通知用户谨慎操作并检查文件源声誉,以确保文件可安全下载。
- 通过管理员恢复帐号。用户如果丢失了安全密钥,而不得不由您帮助他们重新获得帐号访问权限,高级保护计划针对这类情形采用了严格的帐号恢复政策。
管理员要求
以下身份的管理员可启用高级保护计划注册功能:
- 有权访问安全性 > 安全设置的超级用户或受委托管理员。