Pozwól użytkownikom samodzielnie rejestrować się w programie Ochrony zaawansowanej.
Krok 1. Zidentyfikuj użytkowników, którzy są narażeni na ataki, i wyznacz ich do rejestracji
- Zidentyfikuj użytkowników, którzy są narażeni na ataki i powinni być objęci programem Ochrony zaawansowanej.
Wiele ataków rozpoczyna się od przejęcia kontroli nad zasobami w organizacji, które są uznawane za mało wartościowe. Następnie są one używane jako narzędzie dalszego rozprzestrzeniania się ataku. Zalecamy stopniowe dodawanie ról i kont użytkowników. Poniżej znajdziesz listę celów o dużej wartości, które warto zabezpieczyć w organizacji. Pamiętaj jednak, że ataki mogą rozpoczynać się od innych celów i dopiero potem się rozprzestrzeniać. Warto stopniowo rozszerzać tę listę:- Superadministratorzy są często celem ataków ze względu na szerokie uprawnienia.
- Narażeni mogą też być użytkownicy, którzy zajmują się rozliczeniami i produkcją, ponieważ często mają wysoki poziom dostępu.
- Celem mogą też być kierownicy i inni pracownicy wyższego szczebla.
- Grupy użytkowników, którzy byli celem ataków w przeszłości lub którzy byli na celowniku hakerów wspieranych przez rząd. Być może masz też powiadomienia o użytkownikach, którzy mogą być narażeni na ataki. Weź pod uwagę całą organizację.
- Pogrupuj użytkowników w jednostki organizacyjne.
Krok 2. Zamów klucze bezpieczeństwa
Użytkownicy potrzebują kluczy bezpieczeństwa, aby się zarejestrować w Programie ochrony zaawansowanej. Mogą oni korzystać z klucza bezpieczeństwa wbudowanego w telefon, klucza fizycznego do tworzenia kopii zapasowych lub dwóch fizycznych kluczy bezpieczeństwa, jeśli telefon nie ma wbudowanego klucza.
Szczegółowe informacje o kluczach bezpieczeństwa znajdziesz w artykule Zamawianie kluczy bezpieczeństwa.
Krok 3. Określ, które aplikacje innych firm są zaufane w programie Ochrony zaawansowanej
Skonfiguruj listę zaufanych aplikacji, które mogą korzystać z danych organizacji (w tym danych użytkowników) w programie Ochrony zaawansowanej. Lista zaufanych aplikacji obowiązuje w całej organizacji. Domyślnie na liście dla użytkowników Ochrony zaawansowanej znajdują się aplikacje natywne Google, aplikacje natywne Apple na iOS i Mozilla Thunderbird. Inne aplikacje wymagane w Twojej firmie musisz samodzielnie dodać do listy zaufanych.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz Menu Bezpieczeństwo Dostęp do danych i kontrola nad nimi Dostęp do interfejsów API Zarządzanie dostępem aplikacji innych firm.
Aby wykonać te czynności, musisz zalogować się na konto superadministratora. - Szczegółowe instrukcje zarządzania dostępem aplikacji innych firm znajdziesz w artykule Określanie, które aplikacje innych firm i wewnętrzne mają dostęp do danych Google Workspace.
Krok 4. Skonfiguruj dostęp organizacji najwyższego poziomu do weryfikacji dwuetapowej
Program Ochrony zaawansowanej korzysta z weryfikacji dwuetapowej. W konsoli administracyjnej Google musisz wybrać ustawienie, które umożliwia użytkownikom włączenie weryfikacji dwuetapowej. Ustawienie to odnosi się do całej organizacji najwyższego poziomu, na którą może składać się wiele domen.
- Otwórz artykuł Wdrażanie weryfikacji dwuetapowej i przejdź do sekcji „Krok 2. Skonfiguruj podstawową weryfikację dwuetapową (obowiązkowy)”.
- Postępuj zgodnie z instrukcjami, aby włączyć weryfikację dwuetapową w całej organizacji (we wszystkich domenach).
Krok 5. Zezwól na rejestrację użytkowników
Domyślnie użytkownicy mogą zarejestrować się w Programie ochrony zaawansowanej. W razie potrzeby możesz wyłączyć tę funkcję.
-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
-
W konsoli administracyjnej otwórz menu BezpieczeństwoUwierzytelnianieProgram ochrony zaawansowanej.
- Wybierz jednostkę organizacyjną zawierającą konta użytkowników, którym chcesz umożliwić rejestrowanie się w programie.
- Ustawienie domyślne to Włącz rejestrację użytkowników. Zaznacz je, jeśli nie jest zaznaczone.
- Określ typ kodu zabezpieczającego, który użytkownicy mogą wygenerować. Używanie kodów zabezpieczających zmniejsza bezpieczeństwo, więc zezwalaj użytkownikom na ich generowanie tylko wtedy, gdy jest to konieczne. Zasady zabezpieczeń znajdziesz w artykule Zabezpieczanie użytkowników za pomocą programu Ochrony zaawansowanej.
Wybierz jedną z tych opcji kodów zabezpieczających dla użytkowników:
- Nie zezwalaj użytkownikom na generowanie kodów zabezpieczających – użytkownicy nie mogą generować kodów zabezpieczających. Ta opcja oznacza najsilniejszą ochronę. Wybierz ją, jeśli wszyscy użytkownicy korzystają z Google Chrome i nowoczesnych aplikacji.
- Zezwalaj na kody zabezpieczające bez dostępu zdalnego – użytkownicy mogą generować kody zabezpieczające i używać ich na tym samym urządzeniu albo w sieci lokalnej (NAT lub LAN). To jest ustawienie domyślne. Ta opcja zapewnia mniejszą ochronę niż brak kodów zabezpieczających, ale większą ochronę niż kody zabezpieczające z dostępem zdalnym, które opisano poniżej. Ta opcja jest odpowiednia w przypadku:
- aplikacji na iOS,
- komputerów Mac,
- przeglądarki Internet Explorer,
- przeglądarki Safari,
- starszych aplikacji komputerowych i aplikacji mobilnych przeprowadzających uwierzytelnianie przy użyciu komponentów WebView zamiast Chrome.
- Zezwalaj na kody zabezpieczające z dostępem zdalnym – użytkownicy mogą generować kody zabezpieczające i używać ich na innych urządzeniach lub w innych sieciach, na przykład przy uzyskiwaniu dostępu do serwera zdalnego lub maszyny wirtualnej.
Szczegółowe informacje znajdziesz na blogu o aktualizacjach Google Workspace.
Krok 6. Powiadom użytkowników narażonych na ataki, że mogą zarejestrować się w programie Ochrony zaawansowanej
Gdy włączysz rejestrację w programie Ochrony zaawansowanej, użytkownicy będą mogli rejestrować się samodzielnie. Aby skonfigurować klucze bezpieczeństwa, użytkownicy muszą wejść na odpowiednią stronę. Otrzymają też informacje o tym, co się zmieni po włączeniu Ochrony zaawansowanej.
Poinformuj użytkowników o planach swojej firmy, między innymi:
- Opisz Ochronę zaawansowaną i powód jej używania.
- Określ, czy Ochrona zaawansowana jest opcjonalna czy wymagana.
- W razie potrzeby podaj datę, do której użytkownicy muszą samodzielnie zarejestrować się w programie Ochrony zaawansowanej.
- Poinformuj użytkowników, że po zarejestrowaniu się zostaną wylogowani ze wszystkich urządzeń oraz aplikacji innych firm i będą musieli zalogować się ponownie.
- Przekaż użytkownikom klucze bezpieczeństwa.
- Udostępnij link do strony internetowej, na której użytkownicy mogą się samodzielnie zarejestrować: program Ochrony zaawansowanej.