Как защитить аккаунты пользователей от целенаправленных атак

Как разрешить регистрацию пользователей в программе "Дополнительная защита"

Вы можете разрешить пользователям самостоятельно регистрироваться в программе "Дополнительная защита".

Шаг 1. Определите пользователей, уязвимых к атакам, и выберите их для регистрации

Как определить уязвимых пользователей в организации
  1. Определите, какие пользователи будут участвовать в программе "Дополнительная защита".
    Многие атаки начинаются со взлома того, что можно считать маловажными целями, а затем распространяются по организации. Рекомендуем запланировать добавление в будущем других ролей и пользователей. Ниже перечислены некоторые важные цели, защиту которых нужно обеспечить в первую очередь. Но помните, что атаки могут начинаться с других целей, а затем распространяться, поэтому рекомендуем со временем расширить этот список.
    • Суперадминистраторы часто становятся целью злоумышленников из-за своих широких полномочий.
    • Пользователи, которые занимаются выставлением счетов или выполняют рабочие задачи, также подвержены риску.
    • Атаки могут быть направлены и на руководителей, а также других высокопоставленных лиц компании.
    • В группу риска также входят пользователи, которые становились целью в прошлом или подвергались атакам со стороны злоумышленников, финансируемых определенными государствами. Кроме того, вы могли получать уведомления о пользователях, которые уязвимы к атакам. Проанализируйте пользователей на всех уровнях организации. 
  2. Сгруппируйте пользователей в организационные подразделения.

Шаг 2. Закажите электронные ключи или настройте ключи доступа

Как получить ключи для каждого пользователя

Вашим пользователям нужно зарегистрировать электронные ключи или ключи доступа в программе Дополнительной защиты. Кроме того, чтобы обеспечить доступ к аккаунту, необходимо зарегистрировать резервный фактор для восстановления. Пользователям следует добавить резервный номер телефона и адрес электронной почты либо резервный ключ доступа или физический электронный ключ, который должен храниться в безопасном месте.

Подробнее о том, как заказать электронные ключи

Подробнее о том, как войти в аккаунт, используя ключ доступа вместо пароля

Шаг 3. Настройте доступ к сторонним доверенным приложениям в рамках программы Дополнительной защиты

Как настроить доступ к доверенным приложениям

Создайте список доверенных приложений и включите в него те приложения, которым вы разрешаете обработку данных компании, в том числе данных участников программы "Дополнительная защита". Этот список действует для всей организации. По умолчанию оригинальные приложения Google, оригинальные приложения Apple для iOS и Mozilla Thunderbird считаются доверенными. Другие важные для вашей компании приложения нужно будет добавить в список доверенных.

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемУправление доступом и даннымиа затемУправление APIа затемНастроить делегирование доступа к данным в домене.
    Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.

  3. Подробные инструкции по управлению правами доступа сторонних приложений можно найти в статье Как управлять доступом сторонних и внутренних приложений к данным Google Workspace.

Шаг 4. Настройте доступ организации верхнего уровня для двухэтапной аутентификации

Как включить двухэтапную аутентификацию

В программе "Дополнительная защита" используется двухэтапная аутентификация. В консоли администратора Google необходимо настроить параметр, который позволит пользователям включить двухэтапную аутентификацию. Этот параметр применяется к организации верхнего уровня, которая может включать в себя несколько доменов.

  1. Откройте статью Развертывание двухэтапной аутентификации и прочитайте раздел "Шаг 2. Настройте базовые параметры двухэтапной аутентификации (обязательно)".
  2. Выполните нужные действия, чтобы включить двухэтапную аутентификацию для всей организации (всех доменов).

Шаг 5: Включите регистрацию пользователей

Как разрешить регистрацию пользователей

По умолчанию пользователи могут зарегистрироваться в программе "Дополнительная защита". При необходимости вы можете отключить эту возможность.

  1. Войдите в аккаунт консоль администратора Google с правами суперадминистратора.

    Эти шаги нельзя выполнить, если у вас нет прав суперадминистратора.

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемАутентификацияа затемПрограмма Дополнительной защиты.
  3. Выберите организационное подразделение, для пользователей которого нужно включить регистрацию.
  4. Настройка по умолчанию – Включить программу Дополнительной защиты. Выберите ее, если она не выбрана.
  5. Укажите тип защитного кода, который могут создавать пользователи.Использование защитных кодов снижает уровень безопасности, поэтому разрешайте пользователям создавать их только в исключительных случаях. Подробнее о защите пользователей с помощью правил безопасности в программе "Дополнительная защита"

    Выберите один из следующих вариантов:

    • Не разрешать пользователям создавать защитные коды. Пользователи не могут создавать защитные коды. Этот вариант обеспечивает максимальную безопасность. Рекомендуем выбрать его, если все пользователи работают с Google Chrome и с современными приложениями.
    • Разрешить защитные коды без удаленного доступа. Пользователи могут создавать защитные коды и использовать их на том же устройстве или в локальной сети (NAT или LAN). Используется по умолчанию. С таким вариантом уровень безопасности ниже, чем без применения защитных кодов, но выше, чем при использовании защитных кодов с удаленным доступом (см. ниже). Этот вариант подходит для:
      • приложений iOS;
      • компьютеров Mac;
      • Internet Explorer;
      • Safari;
      • устаревших приложений для компьютеров и мобильных приложений, которые используют для аутентификации компоненты WebView, а не Chrome.
    • Разрешить защитные коды с удаленным доступом. Пользователи могут создавать защитные коды и использовать их на других устройствах и в других сетях, например для доступа к удаленному серверу или виртуальной машине.

Более подробную информацию можно найти в блоге Google Workspace.

Шаг 6. Уведомите пользователей, для которых определен высокий уровень риска, о возможности регистрации в программе "Дополнительная защита"

Как уведомить пользователей о регистрации

Пользователи могут самостоятельно зарегистрироваться в программе Дополнительной защиты после ее включения. Для этого им нужно посетить веб-страницу и настроить электронные ключи или ключи доступа. Они также получат информацию об изменениях, связанных с включением программы Дополнительной защиты.

Расскажите пользователям о своих планах, в том числе:

  • опишите программу "Дополнительная защита" и ее преимущества для компании;
  • уточните, является ли участие в ней обязательным;
  • если оно обязательно, сообщите дату, до которой пользователи должны зарегистрироваться в программе;
  • упомяните, что после регистрации пользователям придется заново войти в свои аккаунты на всех устройствах и во всех сторонних приложениях;
  • разошлите пользователям электронные ключи или попросите их настроить на устройствах ключи доступа;
  • разошлите им ссылку на веб-страницу для самостоятельной регистрации: программа Дополнительной защиты.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
12552846927935587266
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false