Os administradores de TI em empresas de médio e grande porte precisam seguir estas práticas recomendadas de segurança para aumentar a proteção e a privacidade dos dados da organização. Para implementar as que estão nesta lista de verificação, você usará uma ou mais configurações do Google Admin Console.
Caso sua empresa não tenha um administrador de TI, veja se as recomendações da lista de verificação de segurança para pequenas empresas (de um a cem usuários) são mais adequadas.
Observação: nem todas estas configurações estão disponíveis em todas as edições do Google Workspace ou do Cloud Identity.
Configuração de práticas recomendadas de segurança
Para proteger sua empresa, muitas das configurações recomendadas nesta lista de verificação são ativadas por padrão.
Como os superadministradores controlam o acesso a todos os dados da empresa e dos funcionários na organização, é importante proteger as contas deles.
Veja uma lista completa das recomendações em Práticas recomendadas de segurança para contas de administrador.
Aplicar autenticação multifator
|
|
Exija a verificação em duas etapas para usuários A verificação em duas etapas protege a conta de usuários contra acesso não autorizado caso alguém consiga descobrir a senha. Proteger sua empresa com a verificação em duas etapas | Implantar a verificação em duas etapas |
|
|
Aplique chaves de segurança pelo menos para administradores e outras contas importantes As chaves de segurança são pequenos dispositivos de hardware usados durante o login que permitem a autenticação de dois fatores para proteger as contas contra phishing. |
Proteger senhas
|
|
Impeça a reutilização de senhas com o Alerta de senha Use o Alerta de senha para garantir que as credenciais corporativas não sejam usadas em outros sites. |
|
|
Use senhas exclusivas Uma senha forte é a primeira linha de defesa para proteger as contas de usuário e de administrador. As senhas exclusivas não são fáceis de adivinhar. Não reutilize senhas em contas diferentes, por exemplo, contas de e-mail e internet banking. |
Evitar e corrigir o comprometimento de contas
|
|
Analisar relatórios e alertas de atividades regularmente Analise os relatórios de atividades para ver o status das contas, de administradores e os detalhes da inscrição na verificação em duas etapas. |
|
|
Configure alertas por e-mail do administrador Configure alertas por e-mail para eventos potencialmente perigosos, como tentativas de login suspeitas, dispositivos móveis comprometidos ou alterações de configuração feitas por outro administrador. |
|
|
Adicione desafios de login do usuário Configure desafios de login para tentativas de login suspeitas. Os usuários devem digitar um código de verificação que o Google envia para o número de telefone ou o endereço de e-mail de recuperação ou responder a um desafio que apenas o proprietário da conta sabe resolver. Verificar a identidade de um usuário com recursos de segurança adicionais | Adicionar o código de funcionário como um desafio de login |
|
|
Identifique e proteja contas violadas Se você suspeitar que uma conta está comprometida, suspenda a conta, investigue se há atividades mal-intencionadas e tome medidas, se necessário.
|
|
|
Desative o download de dados do Google conforme necessário Se uma conta for violada ou o usuário sair da empresa, evite o download de todos os dados do Google com o Google Takeout. |
 |
Impeça o acesso não autorizado após o desligamento de funcionários Para evitar vazamento de dados, revogue o acesso de usuários desligados aos dados da organização. Manter a segurança dos dados depois que um funcionário sai da organização |
|
|
Analise o acesso de terceiros aos serviços principais Saiba e aprove os apps de terceiros que acessam os serviços principais do Google Workspace, como o Gmail e o Drive. Controlar os apps internos e de terceiros que acessam os dados do Google Workspace |
|
Bloqueie o acesso a apps menos seguros Apps menos seguros não usam padrões de segurança modernos, como o OAuth, e aumentam o risco de comprometimento de contas ou dispositivos. |
|
|
Crie uma lista de apps confiáveis Crie uma lista de permissões para especificar os apps de terceiros que podem acessar os serviços principais do Google Workspace. Controlar os apps internos e de terceiros que acessam os dados do Google Workspace |
|
Controle o acesso aos serviços principais do Google Você pode permitir ou bloquear o acesso a apps do Google, como o Gmail, o Drive e o Agenda, com base no endereço IP do dispositivo, na origem geográfica, nas políticas de segurança ou no SO. Por exemplo, você pode permitir o Drive para computador apenas em dispositivos da empresa em países/regiões específicos. |
|
Adicione outra camada de criptografia aos dados dos apps dos usuários Caso sua organização trabalhe com propriedade intelectual confidencial ou opere em um setor altamente regulamentado, adicione a criptografia do lado do cliente ao Gmail, Google Drive, Google Meet e Google Agenda. |
|
|
Limite o compartilhamento externo de agendas Restrinja o compartilhamento externo de agendas apenas à informação disponível/ocupado. Isso reduz o risco de vazamento de dados. Configurar a visibilidade da agenda e as opções de compartilhamento |
|
Avise aos usuários quando eles enviarem convites para pessoas externas Por padrão, o Agenda avisa os usuários quando eles enviam convites para pessoas de fora da organização. Isso reduz o risco de vazamento de dados. Esse aviso precisa estar ativado para todos os usuários. |
|
Limite quem pode conversar externamente Permita que apenas usuários com uma necessidade específica enviem mensagens ou criem salas com pessoas fora da sua organização. Isso impede que usuários externos vejam as discussões internas anteriores e reduz o risco de vazamentos de dados. |
|
|
Avise aos usuários sobre chats fora do domínio (apenas no Hangouts clássico) Mostre um aviso aos usuários quando eles estiverem conversando com pessoas fora do domínio. Quando essa opção está ativada, as conversas de bate-papo em grupo são divididas assim que a primeira pessoa de fora do domínio é adicionada à discussão. Isso impede que usuários externos vejam as discussões de usuários internos anteriores e reduz o risco de vazamentos de dados. No Chat, os usuários externos e as salas são sempre marcados como "Externos". |
|
|
Defina uma política de convite para bate-papos Determine os usuários que podem aceitar convites de chat automaticamente com base na política de colaboração da sua organização. |
|
|
Mantenha o navegador Chrome e o Chrome OS atualizados Permita as atualizações para garantir que os usuários tenham os patches de segurança mais recentes. Sempre permita atualizações no navegador Chrome. Por padrão, os dispositivos Chrome OS são atualizados com a versão mais recente do Chrome quando disponível. Verifique se as atualizações automáticas estão ativadas para todos os usuários nos dispositivos Chrome OS. Definir políticas do Chrome para usuários ou navegadores | Gerenciar atualizações nos dispositivos Chrome OS |
|
Force a reinicialização para aplicar atualizações Configure o navegador Chrome e os dispositivos Chrome OS para notificar que é necessário reinicializar os navegadores ou reiniciar os dispositivos para aplicar a atualização e force a reinicialização após um determinado período, caso o usuário não tome providências. Informar aos usuários que é necessário reiniciar para aplicar as atualizações pendentes |
|
|
Defina políticas básicas para dispositivos Chrome OS e o navegador Chrome Defina as seguintes políticas no Google Admin Console:
|
|
|
Defina políticas avançadas do navegador Chrome Para evitar acessos não autorizados, downloads perigosos e vazamentos de dados entre sites, defina as seguintes políticas avançadas:
Configurar políticas do navegador Chrome em PCs gerenciados | Guia de configuração de segurança empresarial do navegador Chrome (Windows) |
|
|
Defina uma política de navegador para computador Windows Se sua organização quiser usar o navegador Chrome, mas os usuários ainda precisarem acessar sites e apps antigos que exijam o Internet Explorer, a extensão Suporte a navegadores legados do Chrome permitirá que os usuários alternem automaticamente entre o Chrome e outro navegador. Use esse recurso para permitir a utilização de apps que exigem um navegador legado. |
Com o gerenciamento de endpoints do Google, você protege as contas e os dados de trabalho de usuários em dispositivos móveis, tablets, laptops e computadores.
Confira todas as recomendações na lista de verificação de segurança do gerenciamento de dispositivos.
Limitar o compartilhamento e a colaboração fora do seu domínio
|
|
Defina opções ou criar regras para o compartilhamento de arquivos fora da sua organização Restrinja o compartilhamento de arquivos aos seus domínios ao desativar as opções de compartilhamento ou ao criar regras de confiabilidade, que oferecem um controle mais preciso sobre o compartilhamento. Isso reduz os riscos de vazamento de dados e exfiltração de dados. Se o compartilhamento fora da organização for necessário para os negócios, defina o compartilhamento nas unidades organizacionais ou coloque domínios na lista de permissões. Restringir o compartilhamento fora dos domínios permitidos | Restringir o compartilhamento fora da sua organização | Criar regras de confiabilidade para restringir o compartilhamento externo |
|
Avise aos usuários quando eles compartilharem um arquivo fora do domínio Se você permitir que usuários compartilhem arquivos fora do seu domínio, ative um aviso para quando isso acontecer. Dessa forma, eles podem confirmar a ação e reduzir o risco de vazamento de dados. Avisar aos usuários quando compartilharem itens com pessoas fora da sua organização |
|
Impeça que os usuários publiquem na Web Desative a publicação de arquivos na Web. Isso reduz o risco de vazamento de dados. Não permitir que usuários compartilhem arquivos publicamente |
|
|
Defina opções de acesso geral para o compartilhamento de arquivos Defina a opção de acesso padrão para o compartilhamento de arquivos como Restrito. Somente o proprietário do arquivo deve ter acesso a ele até decidir compartilhá-lo. Outra opção é criar grupos de compartilhamento personalizados (públicos-alvo) para usuários em departamentos diferentes. |
|
|
Limite o acesso a arquivos apenas aos destinatários Quando um usuário compartilha um arquivo por um produto do Google que não seja o Documentos ou o Drive (por exemplo, colando um link no Gmail), o Verificador de acesso confirma se os destinatários podem acessar o arquivo. Configure o Verificador de acesso como Somente destinatários. Isso permite o controle sobre a acessibilidade dos links compartilhados pelos usuários e reduz o risco de vazamento de dados. |
|
Impeça ou limite o risco de usuários externos descobrirem as associações a grupos da sua organização Para impedir que usuários de outra organização que use o Google Workspace descubram as associações a grupos da sua empresa, não permita que organizações externas compartilhem arquivos com seus usuários. Como opção, permita o compartilhamento externo apenas com domínios na lista de permissões para limitar esse tipo de risco. Se você usa as configurações de compartilhamento do Google Drive: para cada unidade organizacional que você quer proteger contra esse risco, siga uma das opções a seguir:
Saiba mais em Gerenciar o compartilhamento externo na sua organização. Se você usa regras de confiabilidade para o compartilhamento do Drive: para limitar esse risco, primeiro crie uma regra de confiabilidade com as seguintes configurações:
Saiba mais em Criar uma regra de confiabilidade. Em seguida, desative a regra padrão [Padrão] Os usuários na minha organização podem compartilhar itens com um aviso e receber itens de qualquer pessoa. Saiba mais em Mostrar ou editar detalhes da regra de confiabilidade. |
|
|
Exija que colaboradores externos façam login no Google Exigir que colaboradores externos façam login com uma Conta do Google. Se eles não tiverem uma, poderão criá-la sem custo financeiro. Isso reduz o risco de vazamento de dados. Desativar convites para contas que não são do Google fora do seu domínio |
|
|
Limite quem pode transferir conteúdo de drives compartilhados Permita que apenas os usuários da sua organização migrem arquivos dos drives compartilhados para o Drive de outra organização. |
|
|
Controle o compartilhamento de conteúdo nos novos drives compartilhados Restrinja quem pode criar drives compartilhados, acessar conteúdo ou alterar as configurações dos novos drives compartilhados. |
Limitar cópias locais de dados do Drive
|
|
Desative o acesso a documentos off-line Para reduzir o risco de vazamentos de dados, considere desativar o acesso a documentos off-line. Nesse tipo de acesso, uma cópia dos documentos é armazenada localmente. Se a empresa tiver que ativar o acesso a documentos off-line, faça isso por unidade organizacional para reduzir os riscos. Configurar o acesso off-line aos Editores de Documentos Google |
|
|
Desative o acesso do computador ao Drive Os usuários podem ter acesso de computador ao Drive com o Google Drive para computador. Para reduzir o risco de vazamento de dados, desative o acesso do computador ao Drive. Se você decidir ativar o acesso de computadores, faça isso apenas para usuários com necessidades imprescindíveis para a empresa. |
Controlar o acesso aos dados por apps de terceiros
|
|
Não permita complementos do Documentos Google Para reduzir o risco de vazamentos de dados, não permita que os usuários instalem complementos do Documentos Google disponíveis na loja de complementos. Para suprir necessidades empresariais específicas, é possível implantar complementos do Documentos Google que estejam de acordo com sua política organizacional. |
Proteger dados sensíveis
|
Bloqueie ou informe sobre o compartilhamento de arquivos com dados confidenciais Para reduzir o risco de vazamentos de dados, configure regras de proteção contra perda de dados. Você deverá fazer isso para verificar a presença de dados confidenciais em arquivos e tomar providências quando usuários tentarem compartilhar arquivos externamente. Por exemplo, é possível bloquear o compartilhamento externo de documentos que contenham números de passaporte e receber um alerta por e-mail. |
Configurar autenticação e infraestrutura
|
|
Autentique e-mails com SPF, DKIM e DMARC SPF, DKIM e DMARC estabelecem um sistema de validação de e-mails que usa as configurações de DNS para autenticar e assinar digitalmente seu domínio, além de evitar o spoofing dele. Às vezes, invasores falsificam o endereço do remetente nas mensagens de e-mail para que elas pareçam ter sido enviadas por um usuário do seu domínio. Para evitar que isso aconteça, configure o SPF e o DKIM em todos os fluxos de e-mail de saída. Com esses protocolos ativados, é possível configurar um registro DMARC para definir como o Google e outros destinatários devem lidar com e-mails não autenticados que finjam ser do seu domínio. Evitar spam, spoofing e phishing com a autenticação do Gmail |
|
|
Configure gateways de e-mails de entrada para funcionar com o SPF O SPF evita que as mensagens enviadas sejam encaminhadas para a pasta "Spam", mas um gateway pode afetar o funcionamento do mecanismo. Se você usar um gateway de e-mail para encaminhar e-mails recebidos, verifique se ele está configurado corretamente para o Sender Policy Framework (SPF). |
|
|
Aplique o TLS aos seus domínios parceiros Defina a configuração do TLS para exigir uma conexão segura de e-mails enviados (ou recebidos) de domínios de parceiros. Exigir que o e-mail seja transmitido por uma conexão segura (TLS) |
|
|
Exija autenticação do remetente para todos os remetentes aprovados Exija uma autenticação ao criar uma lista de endereços de remetentes aprovados que podem ignorar a classificação de spam. Quando a autenticação do remetente está desativada, o Gmail não verifica se a mensagem foi enviada por quem alega ser o remetente. A exigência de autenticação reduz o risco de spoofing e de phishing/whaling. Saiba mais sobre a autenticação do remetente. |
|
|
Configure os registros MX para garantir o fluxo de mensagens certo Configure os registros MX para apontar para os servidores de e-mail do Google como registros de prioridade máxima. Isso garante o fluxo correto de e-mails para seus usuários do domínio do Google Workspace. Essa medida reduz o risco de exclusão de dados (devido à perda de e-mails) e ameaças de malware. Configurar os registros MX para o Gmail no Google Workspace|Valores dos registros MX do Google Workspace |
Proteger usuários e organizações
|
|
Desative o acesso IMAP/POP Os clientes de desktop IMAP e POP permitem que os usuários acessem o Gmail por clientes de e-mail de terceiros. Desative o acesso POP e IMAP para todos os usuários que não precisem dele. Isso reduz os riscos de vazamento de dados, exclusão de dados e exfiltração de dados. Também pode reduzir a ameaça de ataques porque os clientes IMAP talvez não tenham proteções semelhantes aos clientes próprios. |
|
|
Desative o encaminhamento automático Impeça que os usuários encaminhem os e-mails recebidos automaticamente para outro endereço. Isso reduz o risco de exportação de dados por encaminhamento de e-mail, que é uma técnica comum usada por invasores. |
|
|
Ative o armazenamento de e-mails abrangente A configuração "Armazenamento de e-mails abrangente" assegura que uma cópia de todos os e-mails enviados e recebidos no seu domínio, incluindo os enviados ou recebidos por Caixas de entrada de terceiros, seja armazenada nas Caixas de entrada do Gmail dos usuários. Ative essa configuração para reduzir o risco de exclusão de dados e, se você usa o Google Vault, garantir que os e-mails sejam retidos. Configurar o Armazenamento de e-mails abrangente | Armazenamento de e-mails abrangente e Vault |
|
|
Não ignore filtros de spam para remetentes internos Desative Ignorar filtros de spam para remetentes internos, porque todos os endereços externos adicionados a grupos são tratados como endereços internos. Ao desativar essa configuração, você garante que todos os e-mails do usuário sejam filtrados contra spam, inclusive os de remetentes internos. Isso reduz o risco de spoofing e phishing/whaling. |
|
|
Adicione a configuração de cabeçalhos de spam a todas as regras de roteamento padrão Os cabeçalhos de spam maximizam a capacidade de filtragem dos servidores de e-mail downstream e reduzem os riscos de spoofing e phishing/whaling. Ao configurar regras de encaminhamento padrão, marque a caixa Adicionar os cabeçalhos X-Gm-Spam e X-Gm-Phishy para que o Gmail adicione esses cabeçalhos e indique o status de spam e phishing da mensagem. Por exemplo, um administrador em outro servidor pode usar essas informações para configurar regras para lidar com o spam e o phishing de maneiras que não sejam limpar o e-mail. |
|
|
Ative a verificação de mensagem de pré-entrega aprimorada Quando o Gmail identifica que uma mensagem de e-mail pode ser phishing, essa configuração permite que ele verifique a mensagem mais a fundo. |
|
|
Ative avisos de destinatário externo O Gmail detecta se um destinatário externo em uma resposta por e-mail não é alguém com quem o usuário interage regularmente ou não está presente nos Contatos de um usuário. Quando você define essa configuração, seus usuários recebem um aviso e podem cancelar a ação. |
|
|
Ative a proteção adicional de anexos O Google verifica as mensagens recebidas para proteger você contra malware, mesmo que as configurações adicionais de proteção contra anexos maliciosos não estejam ativadas. Quando a proteção adicional contra anexos está ativada, ela detecta e-mails que não foram identificados antes como maliciosos. |
|
|
Ative a proteção adicional contra links e conteúdo externo |
|
|
Ative a proteção adicional contra spoofing O Google verifica as mensagens recebidas para proteger você contra spoofing mesmo que as configurações adicionais de proteção contra spoofing não estejam ativadas. Quando a proteção adicional contra spoofing e autenticação está ativada, ela reduz o risco de spoofing com base em nomes semelhantes de domínio ou de funcionários. |
Considerações de segurança para tarefas diárias do Gmail
|
|
Tome cuidado ao modificar filtros de spam Para evitar um aumento na quantidade de spam, tenha cuidado ao substituir os filtros de spam padrão do Gmail.
|
|
|
Não inclua domínios na lista de remetentes aprovados Se você tiver configurado remetentes aprovados e marcado a caixa Ignorar filtros de spam para mensagens recebidas de endereços ou domínios dentro destas listas de remetentes aprovados, remova todos os domínios da lista. A exclusão de domínios da lista de remetentes aprovados reduz o risco de spoofing e de phishing/whaling. |
|
|
Não adicione endereços IP à lista de permissões Em geral, os e-mails enviados por endereços IP na lista de permissões não são marcados como spam. Para aproveitar ao máximo o serviço de filtragem de spam do Gmail e melhorar a classificação desse tipo de mensagem, adicione os endereços IP dos servidores de e-mail da sua organização e dos parceiros que encaminham e-mails para o Gmail a um gateway de entrada e não a uma lista de permissões de IP. Adicionar endereços IP a listas de permissões no Gmail | Configurar um gateway de e-mail de entrada |
Proteger dados sensíveis
|
Verifique e bloqueie e-mails com dados confidenciais Para reduzir o risco de vazamento de dados, verifique os e-mails enviados com detectores predefinidos de proteção contra perda de dados. Dessa forma, você poderá tomar providências quando mensagens com conteúdo confidencial forem recebidas ou enviadas. Por exemplo, é possível impedir que os usuários enviem mensagens que contenham números de cartão de crédito e receber um alerta por e-mail. |
|
Use grupos criados para fins de segurança Gerencie usuários com grupos de segurança para garantir que apenas algumas pessoas tenham acesso a apps e recursos confidenciais. Isso reduz o risco de vazamento de dados. |
|
Adicione condições de segurança às funções de administrador Permita que apenas alguns administradores controlem grupos de segurança. Atribua outros administradores que possam controlar apenas grupos que não sejam de segurança. Isso reduz o risco de vazamento de dados e ameaças maliciosas de pessoas com informações privilegiadas. |
|
|
Configure o acesso particular aos seus grupos Selecione a configuração "Particular" para limitar o acesso apenas aos membros do seu domínio. Os membros do grupo ainda podem receber e-mails de fora do domínio. Isso reduz o risco de vazamento de dados. Definir as opções de compartilhamento do Grupos para empresas |
|
|
Limite a criação de grupos aos administradores Permita que apenas os administradores criem grupos. Isso reduz o risco de vazamento de dados. Definir as opções de compartilhamento do Grupos para empresas |
|
|
Personalize as configurações de acesso aos grupos Recomendações:
|
|
|
Desative algumas configurações de acesso para grupos internos As configurações a seguir permitem que qualquer usuário da Internet participe do grupo, envie mensagens e confira os arquivos de discussão. Desative estas configurações para grupos internos:
|
|
|
Ative a moderação de spam nos seus grupos Você pode enviar mensagens para a fila de moderação com ou sem uma notificação para os moderadores, rejeitar mensagens com spam imediatamente ou permitir que as mensagens sejam postadas sem moderação. |
|
|
Bloqueie o compartilhamento de sites fora do domínio Definir opções de compartilhamento do Google Sites | Definir opções de compartilhamento: Sites clássico |
|
|
Trate as contas com acesso ao Vault como confidenciais Proteja contas atribuídas a funções de administrador do Vault da mesma forma que você protege as contas de superadministrador. Práticas recomendadas de segurança para contas de administrador |
|
|
Faça auditorias regulares de atividades do Vault Os usuários com privilégios do Vault podem pesquisar e exportar dados de outras pessoas, além de mudar regras de retenção que podem limpar dados que você precisa manter. Monitore as atividades do Vault para garantir que apenas políticas aprovadas de acesso e retenção de dados sejam usadas. |
Próximas etapas: monitoramento, investigação e correção
|
|
Revise suas configurações de segurança e investigue as atividades Acesse a Central de segurança regularmente para revisar sua postura de segurança, investigar incidentes e agir com base nessas informações. |
|
|
Analise o registro de auditoria do administrador Use o registro de auditoria do administrador para analisar o histórico de todas as tarefas realizadas no Google Admin Console, que inclui a data, o administrador responsável e o endereço IP de onde ele fez login. |