让用户能够通过自行注册来加入高级保护计划。
第 1 步:找出容易遭受攻击的用户,允许这些用户注册加入该计划
调查组织中有哪些用户容易遭受攻击
- 找出容易遭受攻击的用户,根据需要将他们纳入高级保护计划的保护范围。
您或许认为组织中的某些用户属于低价值目标,但许多攻击行动会率先入侵这类目标,以此作为突破口不断扩大攻击范围。我们建议您做好计划,逐步将更多角色和人员纳入保护范围。下面列出了您可能想要保护的一些高价值目标。不过请注意,攻击行动可能会从其他目标入手,以此作为跳板入侵更多对象。您后续可能需要扩充这份名单:- 超级用户:由于他们拥有广泛的权限,所以通常是攻击目标。
- 在结算或生产部门工作的用户:他们可能拥有许多权限,因而存在风险。
- 执行高管及公司其他高管:他们都可能会成为目标。
- 过去可能已被列为攻击对象的用户群体,甚至是遭受过国家支持的攻击的用户群体。另外,您可能已收到通知,指出哪些用户容易遭受攻击。同时,请考虑整个组织是否会成为攻击目标。
- 组织部门中的群组用户。
第 2 步:订购安全密钥
为每位用户获取两个安全密钥
您的用户需要拥有安全密钥才能注册加入高级保护计划。用户或许能够使用一个内置于手机的安全密钥和一个备用的实体密钥;如果用户的手机不带内置安全密钥,也可以使用两个实体安全密钥。
请参阅订购安全密钥,详细了解安全密钥。
第 3 步:控制高级保护计划可信任哪些第三方应用
控制对受信任应用的访问权限
设置受信任应用的列表,在其中指定可访问贵组织数据(包括那些已加入高级保护计划的用户的数据)的受信任应用。受信任应用的列表会应用于整个组织。对于加入了高级保护计划的用户,系统在默认情况下会信任 Google 原生应用、Apple 原生 iOS 应用和 Mozilla Thunderbird。如果您的公司还需要使用其他任何应用,则必须明确将其添加至受信任应用的列表。
-
-
在管理控制台中,依次点击“菜单”图标 安全性访问权限和数据控件API 控件管理第三方应用的访问权限。
您必须以超级用户身份登录,才能执行此任务。 - 如需有关管理第三方应用访问权限的详细说明,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据。
第 4 步:将顶级组织设置为使用两步验证
使用两步验证
高级保护计划使用两步验证。您必须在 Google 管理控制台中选择相应设置,以便允许用户启用两步验证。该设置会应用到您的整个顶级组织,而其中可能包含多个网域。
- 请参阅部署两步验证中的“第 2 步:设置基本两步验证(必需)”。
- 按照其中的步骤为整个组织(所有网域)启用两步验证。
第 5 步:允许用户注册
允许用户注册
默认情况下,用户可以自行注册加入高级保护计划。如果需要的话,您可以停用此用户功能。
-
-
在管理控制台中,依次点击“菜单”图标 安全性 身份验证 高级保护计划。
- 根据您需要允许哪些用户自行注册加入该计划,选择他们所在的组织部门。
- 默认设置是允许用户注册。如果当前未选中该设置,请将其选中。
- 指定用户可以生成的安全代码类型。使用安全代码会降低安全性,所以务必仅在用户必须使用安全代码时才允许用户生成安全代码。请参阅使用高级保护计划保护用户,以了解该计划的安全政策。
从以下安全代码选项中为用户选择一项:
- 不允许用户生成安全代码 - 用户无法生成安全代码。此选项的安全性最高。如果所有用户目前都在使用 Google Chrome,并且安装了新版应用,请使用此选项。
- 允许使用安全代码(远程访问时除外) - 用户可以生成安全代码并在同一设备或本地网络(NAT 或 LAN)中使用这些安全代码。这是默认设置。该选项的安全性低于“不允许用户生成安全代码”选项,但高于“允许使用安全代码(包含远程访问的情况)”选项(见下文)。此选项适用于:
- iOS 应用
- Mac
- Internet Explorer
- Safari
- 使用 WebView 而不是 Chrome 进行身份验证的旧版桌面应用和移动应用
- 允许使用安全代码(包含远程访问的情况) - 用户可以生成安全代码并在其他设备或网络中使用这些安全代码(如当您访问远程服务器或虚拟机时)。
如要了解详情,请参阅 Google Workspace 最新动态博客。
第 6 步:告知已确认的高风险用户可以注册加入高级保护计划
告知用户进行注册
启用高级保护计划注册功能后,用户就可以自行注册来加入该计划了。用户需要访问相关网页以设置安全密钥。他们还会收到有关启用高级保护服务会带来哪些变化的信息。
向用户传达公司的计划,包括:
- 介绍什么是高级保护计划,以及公司为什么要使用该计划。
- 指出高级保护计划是可由用户选择启用的还是必须启用的。
- 如果必须启用,请规定用户必须在哪个日期之前自行注册来加入高级保护计划。
- 提醒用户,他们注册加入高级保护计划后,将从所有设备和第三方应用退出账号,并且必须重新登录。
- 向用户分发安全密钥。
- 提供用于自行注册加入该计划的网页链接:高级保护计划。