Administratorzy działów IT w średnich i dużych firmach powinni stosować poniższe sprawdzone metody zwiększania bezpieczeństwa i poprawiania ochrony prywatności danych firmowych. Do wdrażania sprawdzonych metod opisanych na tej liście kontrolnej służą różne ustawienia dostępne w konsoli administracyjnej Google.
Jeśli firma nie ma administratora IT, być może w jej przypadku bardziej odpowiednie będą zalecenia z artykułu Lista kontrolna zabezpieczeń dla małych firm (1–100 użytkowników).
Uwaga: nie każde z opisanych tu ustawień jest dostępne we wszystkich wersjach Google Workspace i Cloud Identity.
Sprawdzone metody zwiększania bezpieczeństwa – konfiguracja
Aby zapewnić Twojej firmie lepszą ochronę, wiele z ustawień znajdujących na liście kontrolnej poniżej jest domyślnie włączonych.
Otwórz wszystko | Zamknij wszystko
Superadministratorzy kontrolują dostęp do wszystkich danych firmy i pracowników w organizacji, dlatego tak ważne jest, aby ich konta były chronione.
Pełną listę zaleceń znajdziesz w artykule Sprawdzone metody zabezpieczania kont administratorów.
Wymuszanie stosowania uwierzytelniania wieloskładnikowego
|
|
Wymaganie od użytkowników korzystania z weryfikacji dwuetapowej Weryfikacja dwuetapowa ma za zadanie chronić konto użytkownika przed nieautoryzowanym dostępem w razie, gdyby ktoś przechwycił jego hasło. Ochrona firmy dzięki weryfikacji dwuetapowej | Wdrażanie weryfikacji dwuetapowej |
|
|
Wymuszanie stosowania kluczy bezpieczeństwa przynajmniej na kontach administratorów i innych ważnych kontach Klucze bezpieczeństwa to małe urządzenia używane podczas logowania się, które są drugim składnikiem uwierzytelniającym i skutecznie chronią przed skutkami phishingu. |
Ochrona haseł
|
|
Zapobieganie ponownemu użyciu hasła za pomocą Ochrony hasła Korzystaj z Ochrony hasła, aby użytkownicy nie używali firmowych danych logowania w innych witrynach. |
|
|
Używanie unikalnych haseł Dobre hasło to pierwsza linia obrony, która chroni konta użytkowników i administratorów. Unikalne hasła nie są łatwe do odgadnięcia. Zniechęcaj też do używania tego samego hasła na różnych kontach, takich jak poczta e-mail i bankowość internetowa. |
Zapobieganie przejmowaniu kont i wykonywanie działań naprawczych względem przejętych kont
|
|
Regularne sprawdzanie raportów o aktywności i alertów Przeglądaj raporty o aktywności dotyczące stanu kont, statusu administratora i rejestracji w usłudze weryfikacji dwuetapowej. |
|
|
Konfigurowanie administracyjnych alertów e-mail Skonfiguruj alerty e-mail dotyczące potencjalnie niebezpiecznych zdarzeń, takich jak podejrzane próby logowania, przejęcia urządzeń mobilnych lub zmiany ustawień wprowadzone przez innego administratora. |
|
|
Dodawanie testów zabezpieczających logowanie na konto użytkownika Skonfiguruj testy zabezpieczające logowanie w przypadku podejrzanych prób logowania. Użytkownicy muszą podać kod weryfikacyjny, który Google wyśle na ich pomocniczy numer telefonu lub pomocniczy adres e-mail, albo muszą przejść test zabezpieczający, który może rozwiązać tylko właściciel konta. Weryfikowanie tożsamości użytkownika przy użyciu dodatkowych zabezpieczeń | Dodawanie identyfikatora pracownika jako testu zabezpieczającego logowanie |
|
|
Wykrywanie i zabezpieczanie przejętych kont Jeśli podejrzewasz, że konto zostało przejęte, zawieś je, sprawdź, czy występuje na nim złośliwa aktywność, i w razie potrzeby podejmij odpowiednie działania.
|
|
|
Wyłączanie pobierania danych Google (w razie potrzeby) Jeśli konto zostanie przejęte lub pracownik odejdzie z firmy, zablokuj temu użytkownikowi możliwość pobrania wszystkich danych Google za pomocą Google Takeout. |
 |
Zapobieganie nieautoryzowanemu dostępowi po odejściu pracownika z firmy Aby zapobiec wyciekom danych, anuluj dostęp użytkownika do danych organizacji, gdy z niej odejdzie. Dbanie o bezpieczeństwo danych po opuszczeniu firmy przez pracownika |
|
|
Weryfikowanie dostępu aplikacji innych firm do usług podstawowych Ustal, które aplikacje innych firm mogą uzyskiwać dostęp do usług podstawowych Google Workspace, na przykład Gmaila czy Dysku. |
|
Blokowanie dostępu do mniej bezpiecznych aplikacji Mniej bezpieczne aplikacje nie używają nowoczesnych standardów zabezpieczeń (np. protokołu OAuth), przez co zwiększają ryzyko włamań na konta i urządzenia. |
|
|
Tworzenie listy aplikacji zaufanych Utwórz listę dozwolonych zawierającą aplikacje innych firm, które mogą uzyskiwać dostęp do usług podstawowych Google Workspace. |
|
Kontrolowanie dostępu do usług podstawowych Google Możesz zezwolić na dostęp do aplikacji Google, takich jak Gmail, Dysk czy Kalendarz, albo go zablokować na podstawie pochodzenia geograficznego, zasad zabezpieczeń, systemu operacyjnego lub adresu IP urządzenia. Możesz na przykład zezwolić na używanie Dysku na komputer tylko na urządzeniach należących do firmy w określonych krajach lub regionach. |
|
Dodawanie kolejnej warstwy szyfrowania do danych aplikacji użytkowników Jeśli Twoja organizacja pracuje z wykorzystaniem poufnej własności intelektualnej lub działa w branżach podlegających specjalnym regulacjom, możesz dodać szyfrowanie po stronie klienta do Gmaila, Dysku Google, Google Meet i Kalendarza Google. |
|
|
Ograniczanie udostępniania kalendarzy poza domenę Zezwól na udostępnianie tylko informacji o stanie Wolny/Zajęty. To pozwala zmniejszyć ryzyko wycieku danych. |
|
Ostrzeganie użytkowników przed zaproszeniem gości zewnętrznych Domyślnie Kalendarz ostrzega użytkowników, gdy chcą zaprosić gości zewnętrznych. To pozwala zmniejszyć ryzyko wycieku danych. Dopilnuj, aby to ostrzeżenie było włączone dla wszystkich użytkowników. Zezwalanie na zapraszanie użytkowników zewnętrznych na wydarzenia w Kalendarzu Google |
|
Określanie, kto może czatować z użytkownikami zewnętrznymi Zezwalaj tylko użytkownikom o określonych potrzebach na wymianę wiadomości lub tworzenie pokoi z użytkownikami spoza organizacji. To uniemożliwia użytkownikom zewnętrznym czytanie wcześniejszych wewnętrznych dyskusji i zmniejsza ryzyko wycieku danych. Włączanie możliwości czatowania z użytkownikami zewnętrznymi |
|
|
Ostrzeganie użytkowników czatujących poza domeną (tylko w klasycznej wersji Hangouts) Włącz ostrzeżenie, które będzie wyświetlane użytkownikom czatującym z kimś spoza domeny. Po jego włączeniu rozmowy grupowe na czacie są dzielone, gdy dołącza do nich pierwsza osoba spoza domeny. To uniemożliwia użytkownikom zewnętrznym czytanie wcześniejszych wewnętrznych dyskusji i zmniejsza ryzyko wycieku danych. Google Chat zawsze pokazuje oznaczenie „Z zewnątrz” przy użytkownikach i pokojach zewnętrznych. Włączanie możliwości czatowania z użytkownikami zewnętrznymi |
|
|
Ustawianie zasad zapraszania na czat Określ, którzy użytkownicy mogą automatycznie akceptować zaproszenia na czat (zgodnie z zasadami organizacji dotyczącymi współpracy). |
|
|
Aktualizowanie przeglądarki Chrome i systemu operacyjnego ChromeOS Aby zapewnić użytkownikom dostęp do najnowszych poprawek zabezpieczeń, zezwól na aktualizacje. W przypadku przeglądarki Chrome zawsze zezwalaj na aktualizacje. Domyślnie urządzenia z ChromeOS są aktualizowane do najnowszej wersji od razu po jej udostępnieniu. Upewnij się, że automatyczne aktualizacje są włączone dla wszystkich użytkowników Twoich urządzeń z ChromeOS. Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek | Zarządzanie aktualizacjami na urządzeniach z ChromeOS |
|
Wymuszanie ponownego uruchomienia w celu zastosowania aktualizacji Skonfiguruj przeglądarkę Chrome i urządzenia z ChromeOS tak, aby powiadamiały użytkowników o konieczności ponownego uruchomienia w celu zastosowania aktualizacji, oraz wymuszaj ponowne uruchomienie, jeśli po upływie określonego czasu użytkownik nie podejmie żadnego działania. Powiadamianie użytkowników o konieczności ponownego uruchomienia urządzenia lub przeglądarki w celu zastosowania oczekujących aktualizacji |
|
|
Konfigurowanie podstawowych zasad dotyczących urządzeń z ChromeOS i przeglądarek Chrome W konsoli administracyjnej Google skonfiguruj te zasady:
|
|
|
Konfigurowanie zaawansowanych zasad przeglądarki Chrome Aby zapobiec nieautoryzowanemu dostępowi, niebezpiecznemu pobieraniu i wyciekom danych między witrynami, ustaw te zaawansowane zasady:
Konfigurowanie zasad Chrome na poziomie urządzenia na zarządzanych komputerach | Przewodnik po konfiguracji zabezpieczeń przeglądarki Chrome w firmach (Windows) |
|
|
Konfigurowanie zasad przeglądarki na komputerze z systemem Windows Jeśli Twoja organizacja chce używać przeglądarki Chrome, ale użytkownicy nadal potrzebują dostępu do starszych witryn i aplikacji wymagających Internet Explorera, rozszerzenie „Obsługa starszych przeglądarek" do Chrome umożliwia im automatyczne przełączanie się między Chrome a inną przeglądarką. Używaj Obsługi starszych przeglądarek, aby móc korzystać z aplikacji wymagających starszej przeglądarki. |
Dzięki funkcjom zarządzania punktami końcowymi Google możesz chronić konta użytkowników i ich dane służbowe na urządzeniach mobilnych, tabletach, laptopach i komputerach.
Pełną listę rekomendacji znajdziesz na liście kontrolnej bezpiecznego zarządzania urządzeniami.
Ograniczanie możliwości udostępniania i współpracy poza domeną
|
|
Ustawianie opcji i tworzenie reguł dotyczących udostępniania plików poza organizację Zablokuj możliwość udostępniania plików poza swoje domeny, wyłączając opcje udostępniania lub tworząc reguły zaufania (które zapewniają dokładniejszą kontrolę nad udostępnianiem). To pozwala zmniejszyć ryzyko wycieku danych i wydobycia informacji. Jeśli w ramach swoich obowiązków użytkownicy muszą udostępniać pliki poza organizację, możesz określić reguły udostępniania w poszczególnych jednostkach organizacyjnych, a także utworzyć listę dozwolonych domen. Ograniczanie udostępniania poza dozwolone domeny | Ograniczanie udostępniania poza organizację | Tworzenie reguł zaufania na potrzeby udostępniania na Dysku i zarządzanie nimi |
|
Ostrzeganie użytkowników o udostępnianiu plików poza domenę Włącz ostrzeżenie informujące użytkowników o udostępnianiu plików poza domenę, jeśli im na to zezwalasz. Dzięki temu będą mogli się oni upewnić, że faktycznie chcą wykonać daną czynność. Zmniejsza to ryzyko wycieku danych. |
|
Blokowanie użytkownikom możliwości publikowania w internecie Wyłącz możliwość publikowania plików w internecie. To pozwala zmniejszyć ryzyko wycieku danych. Blokowanie użytkownikom możliwości udostępniania plików publicznie |
|
|
Ustawianie ogólnych opcji dostępu na potrzeby udostępniania plików Ustaw domyślną opcję udostępniania plików na Ograniczone. Zanim właściciel udostępni plik, dostęp do niego powinien mieć tylko on. Opcjonalnie możesz utworzyć niestandardowe grupy udostępniania (grupy odbiorców) dla użytkowników z różnych działów. |
|
|
Ograniczanie dostępu do pliku tylko do adresatów Gdy użytkownik udostępnia plik za pomocą usługi Google innej niż Dokumenty lub Dysk (na przykład wklejając link w Gmailu), Narzędzie do sprawdzania dostępu może sprawdzić, czy adresaci powinni uzyskiwać dostęp do tego pliku. Skonfiguruj Narzędzie do sprawdzania dostępu tylko dla adresatów. Zapewnia to kontrolę nad dostępnością linków udostępnianych przez użytkowników, co pozwala zmniejszyć ryzyko wycieku danych. |
|
Uniemożliwianie użytkownikom zewnętrznym znajdowania informacji o członkostwie w grupach organizacji lub ograniczanie takiego ryzyka Aby uniemożliwić użytkownikom z innej organizacji korzystającej z Google Workspace znalezienie informacji o członkostwie w grupach w Twojej organizacji, nie zezwalaj organizacjom zewnętrznym na udostępnianie plików Twoim użytkownikom. Jeśli chcesz ograniczyć to ryzyko, możesz zezwolić na udostępnianie zewnętrzne tylko użytkownikom w domenach z listy dozwolonych. Jeśli używasz ustawień udostępniania na Dysku Google: w przypadku każdej jednostki organizacyjnej, którą chcesz chronić przed tym ryzykiem, wykonaj jedną z tych czynności:
Więcej informacji znajdziesz w artykule Zarządzanie udostępnianiem zewnętrznym w organizacji. Jeśli używasz reguł zaufania na potrzeby udostępniania na Dysku: aby ograniczyć ryzyko, najpierw utwórz regułę zaufania z tymi ustawieniami:
Szczegółowe informacje znajdziesz w sekcji Tworzenie reguły zaufania. Następnie dezaktywuj regułę domyślną o nazwie [Ustawienie domyślne] Użytkownicy w mojej organizacji mogą udostępniać treści każdemu (po wyświetleniu ostrzeżenia) i otrzymywać treści od każdego. Szczegółowe informacje znajdziesz w sekcji Wyświetlanie i edytowanie szczegółów reguły zaufania. |
|
|
Wymaganie od zewnętrznych współpracowników zalogowania się na konto Google Wymagaj, aby zewnętrzni współpracownicy musieli logować się na konto Google. Jeśli ktoś nie ma konta Google, może je bezpłatnie utworzyć. To pozwala zmniejszyć ryzyko wycieku danych. |
|
|
Określanie, kto może przenosić treści z dysków współdzielonych Zezwalaj na przenoszenie plików z dysku współdzielonego do lokalizacji na Dysku w innej organizacji tylko użytkownikom ze swojej organizacji. Kontrola nad plikami przechowywanymi na dyskach współdzielonych |
|
|
Kontrola nad udostępnianiem treści na nowych dyskach współdzielonych Ogranicz grupę użytkowników z uprawnieniami do tworzenia dysków współdzielonych i uzyskiwania dostępu do treści oraz zmieniania ustawień nowych dysków współdzielonych. |
Ograniczanie możliwości tworzenia lokalnych kopii danych z Dysku
|
|
Wyłączanie dostępu do dokumentów offline Aby zmniejszyć ryzyko wycieku danych, możesz wyłączyć dostęp do dokumentów offline. Gdy dokumenty są dostępne w trybie offline, ich kopie są przechowywane lokalnie. Jeśli w Twojej firmie potrzebny jest dostęp w trybie offline, włącz go tylko w tych jednostkach organizacyjnych, w których jest to niezbędne, aby zminimalizować związane z tym ryzyko. |
|
|
Wyłączanie dostępu do Dysku na komputerach Użytkownicy mogą uzyskać dostęp do Dysku na komputerach przy użyciu aplikacji Dysk Google na komputer. Aby zmniejszyć ryzyko wycieku danych, możesz wyłączyć dostęp do Dysku na komputerach. Jeśli dostęp do Dysku na komputerach jest wymagany, włącz go tylko tym użytkownikom, którzy naprawdę potrzebują tej funkcji. |
Kontrola dostępu do danych przez aplikacje innych firm
|
|
Zabranianie używania dodatków do Dokumentów Google Aby zmniejszyć ryzyko wycieku danych, możesz zabronić użytkownikom instalowania dodatków do Dokumentów Google ze sklepu z dodatkami. W razie potrzeby możesz wdrożyć określone dodatki do Dokumentów Google, które są zgodne z zasadami organizacji. |
Ochrona danych wrażliwych
|
Blokowanie udostępniania plików zawierających dane wrażliwe i ostrzeganie o tym Aby zmniejszyć ryzyko wycieku danych, skonfiguruj reguły zapobiegania utracie danych, aby skanować pliki pod kątem danych wrażliwych i podejmować odpowiednie działania, gdy użytkownicy próbują udostępniać pliki na zewnątrz. Możesz na przykład zablokować udostępnianie zewnętrzne dokumentów zawierających numery paszportów i otrzymywać w takich przypadkach alerty e-mail. Korzystanie z DLP dla Dysku w celu zapobiegania utracie danych |
Konfigurowanie uwierzytelniania i infrastruktury
|
|
Uwierzytelnianie e-maili przy użyciu SPF, DKIM i DMARC SPF, DKIM i DMARC wchodzą w skład systemu weryfikacji e-maili, który używa ustawień DNS do uwierzytelniania, podpisywania cyfrowego i zapobiegania podszywaniu się pod Twoją domenę. Osoby przeprowadzające ataki mogą fałszować adres nadawcy w e-mailach, przez co wydaje się, że wiadomość pochodzi od użytkownika z Twojej domeny. Aby temu zapobiec, możesz skonfigurować SPF i DKIM w przypadku wszystkich strumieni wychodzącej poczty e-mail. Po skonfigurowaniu SPF i DKIM możesz też skonfigurować rekord DMARC, aby zdefiniować, jak Google i inni odbiorcy powinni traktować nieuwierzytelnione e-maile wyglądające na pochodzące z Twojej domeny. |
|
|
Konfigurowanie bram przychodzącej poczty e-mail do pracy z SPF Mechanizm SPF zapobiega trafianiu wiadomości wychodzących do spamu, ale na jego działanie może wpływać brama. Jeśli używasz bramy poczty e-mail do routingu wiadomości przychodzących, skonfiguruj ją zgodnie z mechanizmem Sender Policy Framework (SPF). |
|
|
Wymaganie korzystania z TLS w domenach partnerów Skonfiguruj ustawienie TLS w taki sposób, aby bezpieczne połączenie było wymagane w przypadku wymiany e-maili z domenami partnerów. Wymaganie przesyłania poczty przez bezpieczne połączenie (TLS) |
|
|
Wymaganie uwierzytelniania wszystkich zatwierdzonych nadawców Gdy tworzysz listę adresów zatwierdzonych nadawców, którzy mogą omijać klasyfikację spamu, wymagaj uwierzytelnienia. Jeśli uwierzytelnianie nadawcy jest wyłączone, Gmail nie może sprawdzić, czy wiadomość została wysłana przez osobę, która jest podana jako nadawca. Wymaganie uwierzytelniania pozwala zmniejszyć ryzyko podszywania się, wyłudzania informacji i ataków na ważne osoby w organizacji. Dowiedz się więcej o uwierzytelnianiu nadawców. Dostosowywanie ustawień filtrowania spamu w Google Workspace |
|
|
Konfigurowanie rekordów MX pod kątem prawidłowego przepływu poczty Skonfiguruj rekordy MX tak, aby wskazywały serwery poczty Google jako rekord o najwyższym priorytecie. Dzięki temu zapewnisz prawidłowy przepływ poczty do użytkowników Twojej domeny Google Workspace, a także zmniejszysz ryzyko usunięcia danych (z powodu utraty e-maili) i zainfekowania urządzeń złośliwym oprogramowaniem. Konfigurowanie rekordów MX dla poczty e-mail w Google Workspace | Wartości rekordów MX Google Workspace |
Ochrona użytkowników i organizacji
|
|
Wyłączanie dostępu przez IMAP/POP Komputerowe klienty IMAP i POP umożliwiają użytkownikom uzyskiwanie dostępu do Gmaila za pomocą programów poczty e-mail innych firm. Wyłącz dostęp przez POP i IMAP tym wszystkim użytkownikom, którzy go nie potrzebują. Pozwala to zmniejszyć ryzyko wycieku, usunięcia i wydobycia danych. Może także zmniejszyć zagrożenie atakami, bo klienty IMAP mogą nie mieć ochrony podobnej do ochrony klientów własnych. |
|
|
Wyłączanie automatycznego przekazywania dalej Zablokuj użytkownikom możliwość automatycznego przekazywania przychodzących wiadomości na inny adres. To pozwala zmniejszyć ryzyko wydobywania danych przez przekazywanie dalej zawierających je e-maili (jest to metoda powszechnie stosowaną przez cyberprzestępców). |
|
|
Włączanie kompleksowego przechowywania poczty Kompleksowe przechowywanie poczty powoduje, że kopie wszystkich wysłanych i odebranych e-maili w domenie (także tych wysłanych lub odebranych przez skrzynki pocztowe inne niż Gmail) są przechowywane w powiązanych skrzynkach pocztowych użytkowników w Gmailu. Włącz to ustawienie, aby zmniejszyć ryzyko usunięcia danych. Jeśli używasz Google Vault, upewnij się, że poczta jest przechowywana lub zablokowana przez blokadę. Konfigurowanie kompleksowego przechowywania poczty | Wiadomości wysłane przy użyciu innych usług Google (kompleksowe przechowywanie poczty) |
|
|
Wyłączanie pomijania filtrów spamu w przypadku nadawców wewnętrznych Wyłącz ustawienie Pomijaj filtry spamu w przypadku wiadomości od nadawców wewnętrznych, bo adresy zewnętrzne dodane do grup są traktowane jako adresy wewnętrzne. Gdy wyłączysz to ustawienie, wszystkie e-maile użytkowników (w tym wiadomości od nadawców wewnętrznych) będą filtrowane pod kątem spamu. Pozwala to zmniejszyć ryzyko podszywania się oraz wyłudzania informacji (phishing), w tym phishingu skierowanego do ważnych osób w organizacji (whaling). Dostosowywanie ustawień filtrowania spamu w Google Workspace |
|
|
Dodaj ustawienie nagłówków spamu do wszystkich domyślnych reguł routingu Nagłówki spamu pomagają w pełni wykorzystać możliwości filtrowania odbierających serwerów poczty oraz zmniejszyć ryzyko podszywania się, wyłudzania informacji i ataków na ważne osoby w organizacji. Po skonfigurowaniu domyślnych reguł routingu zaznacz pole Dodaj nagłówki X-Gm-Spam i X-Gm-Phishy, aby Gmail mógł je dodać i za ich pomocą oznaczać wiadomości, w których wykryto spam lub próbę wyłudzenia informacji. Na przykład administrator serwera odbierającego może przy użyciu tych informacji skonfigurować reguły postępowania ze spamem i wiadomościami zawierającymi próby wyłudzania informacji, które są inne niż w przypadku zwykłej poczty. |
|
|
Włączanie ulepszonego skanowania wiadomości przed dostarczeniem Gdy Gmail wykryje e-maila, który może być próbą phishingu, to ustawienie pozwala Gmailowi dokładniej sprawdzić wiadomość. Korzystanie z ulepszonego skanowania wiadomości przed dostarczeniem |
|
|
Włączanie ostrzeżeń o adresatach spoza organizacji Gmail sprawdza, czy zewnętrzny adresat jest zapisany w Kontaktach użytkownika i czy użytkownik regularnie się z nim kontaktuje. Jeśli tak nie jest, użytkownik zobaczy ostrzeżenie i opcję odrzucenia takiej wiadomości, gdy skonfigurujesz to ustawienie. |
|
|
Włączanie dodatkowej ochrony przed niebezpiecznymi załącznikami Google skanuje wiadomości przychodzące, aby zapewnić ochronę przed złośliwym oprogramowaniem, nawet jeśli nie są włączone dodatkowe ustawienia ochrony przed szkodliwymi załącznikami. Włączenie dodatkowej ochrony przed niebezpiecznymi załącznikami pozwala przechwytywać e-maile, które wcześniej nie zostałyby zidentyfikowane jako złośliwe. |
|
|
Włączanie dodatkowej ochrony przed niebezpiecznymi linkami i niebezpieczną treścią zewnętrzną |
|
|
Włączanie dodatkowej ochrony przed podszywaniem się pod inne osoby Google skanuje wiadomości przychodzące, aby zapewnić ochronę przed podszywaniem się pod inne osoby, nawet jeśli nie są włączone dodatkowe ustawienia ochrony przed takimi zagrożeniami. Włączenie dodatkowej ochrony przed podszywaniem się i złośliwym uwierzytelnianiem, może na przykład zmniejszyć ryzyko podszywania się opartego na podobnych nazwach domen lub imionach i nazwiskach pracowników. Włączanie ochrony przed podszywaniem się pod innych i kontroli uwierzytelniania |
Bezpieczeństwo codziennych zadań w Gmailu
|
|
Zachowywanie ostrożności podczas zastępowania filtrów spamu Aby uniknąć zwiększonego napływu spamu, zachowaj szczególną ostrożność, jeśli zastępujesz domyślne filtry spamu w Gmailu.
|
|
|
Unikanie dodawania domen do listy zatwierdzonych nadawców Jeśli masz skonfigurowaną listę zatwierdzonych nadawców i zaznaczone pole Pomijaj filtry spamu w przypadku wiadomości odebranych z adresów lub domen znajdujących się na tych listach zatwierdzonych nadawców, usuń wszystkie domeny z listy zatwierdzonych nadawców. Wykluczenie domen z listy zatwierdzonych nadawców zmniejsza ryzyko podszywania się oraz wyłudzania informacji (phishing), w tym phishingu skierowanego do ważnych osób w organizacji (whaling). Dostosowywanie ustawień filtrowania spamu w Google Workspace |
|
|
Unikanie dodawania adresów IP do listy dozwolonych Przeważnie wiadomości wysłane z adresów IP znajdujących się na liście dozwolonych nie są oznaczane jako spam. Aby w pełni korzystać z usługi filtrowania spamu w Gmailu i najskuteczniej klasyfikować spam, dodaj adresy IP swoich serwerów poczty i serwerów poczty innych firm, które przekazują wiadomości do Gmaila, do bramy poczty przychodzącej, a nie do listy dozwolonych adresów IP. Umieszczanie adresów IP na liście dozwolonych w Gmailu | Konfigurowanie bramy poczty przychodzącej |
Ochrona danych wrażliwych
|
Skanowanie i blokowanie e-maili zawierających dane wrażliwe Jeśli chcesz zmniejszyć ryzyko wycieku danych, skanuj wychodzące e-maile za pomocą wstępnie zdefiniowanych wzorców do zapobiegania utracie danych, aby podejmować odpowiednie działania, gdy użytkownicy otrzymują lub wysyłają wiadomości z danymi poufnymi. Możesz na przykład uniemożliwić użytkownikom wysyłanie wiadomości zawierających numery kart kredytowych i otrzymywać w takich przypadkach alerty e-mail. Skanowanie poczty e-mail przy użyciu reguł Zapobiegania utracie danych (DLP) |
|
Korzystanie z grup utworzonych z myślą o bezpieczeństwie Zezwalaj tylko wybranym użytkownikom na dostęp do poufnych aplikacji i zasobów, zarządzając nimi za pomocą grup zabezpieczeń. To pozwala zmniejszyć ryzyko wycieku danych. |
|
Dodawanie warunków dotyczących bezpieczeństwa do ról administratora Zezwalaj tylko określonym administratorom na kontrolowanie grup zabezpieczeń. Wyznacz innych administratorów, którzy będą mogli zarządzać tylko grupami niezabezpieczonymi. Pozwala to zmniejszyć ryzyko wycieku danych i nieupoważnionego dostępu. |
|
|
Konfigurowanie prywatnego dostępu do grup Wybierz ustawienie Prywatna, aby dostęp do grup mieli tylko użytkownicy z Twojej domeny. Członkowie grupy nadal będą mogli otrzymywać e-maile spoza domeny. To pozwala zmniejszyć ryzyko wycieku danych. Konfigurowanie opcji udostępniania w Grupach dyskusyjnych Google dla Firm |
|
|
Ograniczanie możliwości tworzenia grup tylko do administratorów Zezwalaj na tworzenie grup tylko administratorom. To pozwala zmniejszyć ryzyko wycieku danych. Konfigurowanie opcji udostępniania w Grupach dyskusyjnych Google dla Firm |
|
|
Dostosowywanie ustawień dostępu do grup Zalecenia:
Określanie, kto może wyświetlać, publikować i moderować posty |
|
|
Wyłączanie niektórych ustawień dostępu dla grup wewnętrznych Dzięki poniższym ustawieniom każdy użytkownik internetu może dołączyć do grupy, wysyłać wiadomości i przeglądać archiwa dyskusji. Wyłącz te ustawienia dla grup wewnętrznych:
|
|
|
Włączanie moderacji spamu w grupach Możesz ustawić wysyłanie wiadomości do kolejki moderacji (z powiadamianiem moderatorów lub bez ich powiadamiania), natychmiast odrzucać spam lub zezwolić na publikowanie wiadomości bez moderacji. |
|
|
Blokowanie udostępniania witryn poza domenę Ustawianie opcji udostępniania Witryn Google | Ustawianie opcji udostępniania: klasyczna wersja Witryn |
|
|
Traktowanie kont z dostępem do Vault jako poufnych Chroń konta przypisane do ról administratora Vault w taki sam sposób, w jaki chronisz konta superadministratorów. |
|
|
Regularne sprawdzanie aktywności w Vault Użytkownicy z uprawnieniami do Vault mogą wyszukiwać i eksportować dane innych użytkowników, a także zmieniać reguły przechowywania, które mogą trwale usuwać niezbędne dane. Sprawdzaj aktywność w Vault, aby mieć pewność, że stosowane są tylko zatwierdzone zasady dostępu do danych i ich przechowywania. |
Kolejne kroki: monitorowanie, analiza zagrożeń i działania zaradcze
|
|
Sprawdzanie aktywności i ustawień zabezpieczeń Regularnie odwiedzaj Centrum bezpieczeństwa, aby sprawdzać stan zabezpieczeń, analizować incydenty i na podstawie tych informacji podejmować odpowiednie działania. |
|
|
Przeglądanie dziennika kontrolnego administratora W dzienniku kontrolnym administratora możesz przejrzeć historię wszystkich czynności wykonanych w konsoli administracyjnej Google, w tym informacje o tym, który administrator je wykonał, kiedy to nastąpiło oraz pod jakim adresem IP konto danego administratora było zalogowane. |