高级保护功能可帮助您保护可能成为攻击目标的用户,例如:
- Google Workspace 和 Cloud Identity 超级用户或受委托的管理员
- 政治活动者
- 活动家群体
- 名人
- 记者
- 商业领袖
- 通过加密货币交易的公司
- 律师事务所
定向攻击可能是少量的、精心策划的钓鱼式攻击,经常针对个体进行量身设计,人们可能很难将其与合法活动加以区分。正因为这些特点,定向攻击可谓最难防范。高级保护计划专门用于遏制针对 Google 账号的定向在线攻击。
什么是高级保护计划?
高级保护计划旨在保护 Google 账号免受定向在线攻击。该计划适用于个人 Google 账号和企业 Google 账号。高级保护计划为已注册的账号提供一系列高安全度的精选政策。我们可能还会向高级保护计划添加其他政策,以确保这些保护机制是最新的。
通过高级保护服务,您可以一次性应用所有这些保护措施,并覆盖可能已手动配置的类似设置。这些政策包括:
- 使用安全密钥或通行密钥进行功能强大的身份验证
- 根据需要将安全码与安全密钥或通行密钥搭配使用
- 限制第三方对账号数据的访问
- Gmail 深度扫描
- Chrome 中的 Google 安全浏览保护机制(当用户使用他们在高级保护计划中的身份登录 Chrome 时)
- 通过管理员恢复账号
高级保护计划安全政策
注册高级保护计划的用户受以下安全政策保护:
- 使用安全密钥或通行密钥进行功能强大的身份验证。高级保护计划强制要求用户使用安全密钥或通行密钥进行登录。它采用两步验证 (2SV) 政策。您无需单独配置两步验证政策,高级保护计划设置会优先于两步验证政策设置(如果已配置)。即使网域使用的是第三方身份提供方 (IdP),系统也会强制要求使用安全密钥或通行密钥。用户需要在注册加入高级保护计划时注册密钥。用户可以使用通行密钥或安全密钥注册加入高级保护计划。用户还需要输入辅助邮箱地址和辅助电话号码。或者,用户可以添加备用通行密钥或安全密钥。
- 根据需要将安全码与安全密钥或通行密钥搭配使用。如果您的用户使用的平台不支持安全密钥或通行密钥,则可允许用户通过特殊的一次性安全码登录并进行身份验证。用户只能在支持安全密钥或通行密钥的设备和浏览器(例如 Chrome)上生成此安全码。
将安全码与安全密钥或通行密钥搭配使用会降低安全性。不过,您的组织可能存在某些重要的工作流,在其中无法直接使用安全密钥或通行密钥。在这种情况下,需要使用安全码。虽然将安全码与安全密钥或通行密钥搭配使用并不是最安全的选项,但仍比不使用安全密钥或通行密钥要好。
您可以通过安全码选项控制用户生成的安全码。这些选项可让用户在便捷性和安全性之间进行权衡。如需了解详情,请转到允许用户注册加入高级保护计划。
- 限制第三方对账号数据的访问。涉及高风险范围的应用会被屏蔽,除非它们被管理员明确信任,或位于受信任的应用的默认列表中。
适用于高级保护功能的默认受信任应用包括:
- Google 原生应用
- Apple 原生 iOS 应用
- macOS 上的 Apple“邮件”
- Mozilla Thunderbird
- Gmail 深度扫描。对于收到的电子邮件,系统会启用增强型递送前邮件扫描功能,以识别钓鱼式攻击行为。对于企业用户,系统会启用安全沙盒功能,对附件进行深度扫描,以检查其中是否包含未知恶意软件。
- Chrome 中的 Google 安全浏览保护机制 这些保护措施可降低用户在 Google Chrome 中下载内容时遇到的风险。当用户使用他们在高级保护计划中的身份登录 Chrome 后,如果 Google 安全浏览无法验证文件是否安全,用户将会收到警告。此警告会通知用户谨慎操作并检查文件源声誉,以确保文件可安全下载。
- 通过管理员恢复账号。用户如果丢失了安全密钥,而不得不由您帮助他们重新获得账号访问权限,高级保护计划针对这类情形采用了严格的账号恢复政策。
管理员要求
有权访问安全性 > 安全设置的超级用户或受委托的管理员可以启用高级保护计划注册。
