Приведенные ниже рекомендации помогут повысить уровень безопасности и защитить конфиденциальные данные компании. Каждому совету соответствует один или несколько параметров в консоли администратора Google.
Если в вашей организации нет системного администратора, возможно, вам больше подойдут рекомендации для небольших компаний (от 1 до 100 пользователей).
Примечание. Некоторые настройки, упомянутые в этой статье, доступны не во всех версиях Google Workspace и Cloud Identity.
Рекомендации по безопасности: создание системы защиты
В целях безопасности многие из указанных ниже настроек включены в сервисах Google по умолчанию.
Так как суперадминистраторы управляют доступом ко всем данным организации и сотрудников, их аккаунты особенно важно защитить.
Полный список рекомендаций вы можете найти в статье Как обеспечить безопасность аккаунтов администраторов.
Принудительная многофакторная аутентификация
Настройте для пользователей обязательную двухэтапную аутентификацию Двухэтапная аутентификация обеспечивает более надежную защиту аккаунтов от несанкционированного доступа. Как защитить компанию с помощью двухэтапной аутентификации | Развертывание двухэтапной аутентификации |
|
Настройте принудительное использование электронных ключей хотя бы для аккаунтов администраторов и других важных аккаунтов Электронный ключ – небольшое аппаратное устройство, которое используется при входе в аккаунт для обеспечения двухэтапной аутентификации с целью защиты от фишинга. |
Защита паролей
Используйте Защитник пароля Настройте Защитник пароля, чтобы сотрудники организации не могли использовать корпоративные пароли на сторонних сайтах. |
|
Используйте уникальные пароли Надежный пароль поможет защитить аккаунты пользователей и администраторов. Создайте уникальный пароль, который сложно угадать. Не используйте один и тот же пароль для разных аккаунтов, например для электронной почты и интернет-банкинга. |
Предотвращение взлома аккаунтов
Регулярно просматривайте отчеты и оповещения о действиях Просматривайте отчеты о статистике аккаунта. Обращайте внимание на статус аккаунта, статус администратора и данные о применении двухэтапной аутентификации. |
|
Настройте оповещения по электронной почте для администраторов Настройте оповещения о потенциальных угрозах, например о подозрительных попытках входа, взломе мобильных устройств или изменениях в настройках сервисов, внесенных другим администратором. |
|
Включите для пользователей дополнительную аутентификацию На случай подозрительной попытки входа можно настроить для пользователей дополнительную аутентификацию. Сотрудник должен будет ввести код подтверждения Google, который получит на резервный номер телефона или адрес электронной почты, или пройти дополнительную проверку (например, ответить на секретный вопрос). Как проверять личность пользователей с помощью дополнительных мер безопасности | Как включить для сотрудников дополнительную аутентификацию по идентификатору |
|
Выявляйте и защищайте взломанные аккаунты Если вы подозреваете, что аккаунт взломан, заблокируйте и проверьте его и при необходимости примите меры.
Как применить защитные меры к потенциально взломанным аккаунтам |
|
При необходимости отключите скачивание данных Google Настройте систему таким образом, чтобы пользователь, взломавший аккаунт, или сотрудник, покинувший компанию, не мог скачать данные Google с помощью Google Архиватора. Как включить или отключить Google Архиватор для пользователей |
|
Исключите возможность несанкционированного доступа к данным сотрудника, который покидает организацию Чтобы не допустить утечки данных, отзовите доступ пользователя к данным организации, которую он покидает. |
Проверьте доступ сторонних приложений к основным сервисам Отслеживайте и одобряйте доступ сторонних приложений к основным сервисам Google Workspace, например к Gmail и Диску. Как управлять доступом сторонних и внутренних приложений к данным Google Workspace |
|
Заблокируйте доступ к небезопасным приложениям Небезопасные приложения не отвечают современным стандартам безопасности (например, в них не поддерживается OAuth). Это увеличивает риск взлома аккаунтов и устройств. |
|
Создайте список надежных приложений Создайте белый список сторонних приложений, которым разрешен доступ к основным сервисам Google Workspace. Как управлять доступом сторонних и внутренних приложений к данным Google Workspace |
|
Управляйте доступом к основным сервисам Google Вы можете разрешать или запрещать доступ к сервисам Google, таким как Gmail, Диск и Календарь, в зависимости от характеристик устройства: IP-адреса, географического местоположения, операционной системы или правил безопасности. Например, можно разрешить использовать Диск для компьютеров только на корпоративных устройствах, которые находятся в определенных странах и регионах. |
|
Добавьте ещё один уровень шифрования для данных приложений пользователей Если ваша организация работает с конфиденциальной интеллектуальной собственностью или в тщательно регулируемой законодательством отрасли, вы можете добавить шифрование на стороне клиента для Gmail, Google Диска, Meet и Календаря. |
Ограничьте доступ к календарям для внешних пользователей Настройте доступ к календарям таким образом, чтобы пользователи за пределами организации могли просматривать только статус занятости. Это минимизирует риск утечки данных. |
|
Активируйте предупреждения при приглашении внешних гостей По умолчанию Календарь показывает пользователю предупреждение при попытке пригласить внешних гостей. Это минимизирует риск утечки данных. Убедитесь, что эта функция включена для всех пользователей. Как разрешить приглашать внешних пользователей на мероприятия Google Календаря |
Укажите, кто может общаться в чате с внешними пользователями Настройте систему так, чтобы отправлять сообщения пользователям не из вашей организации и создавать чат-группы с их участием могли только определенные сотрудники. В этом случае внешние участники не могут видеть предыдущие беседы между пользователями домена. Это помогает минимизировать риск утечки данных. |
|
Информируйте сотрудников о том, что они общаются в чате с внешними пользователями (только в классической версии Hangouts) Предупреждайте сотрудников о том, что они общаются в чате с внешними пользователями. Если эта функция включена, цепочки сообщений группового чата разделяются при добавлении в чат первого пользователя из другого домена, поэтому внешние участники не могут видеть предыдущие беседы между пользователями домена. Это уменьшает риск утечки данных. В Chat пользователи не из вашего домена и чат-группы с ними всегда помечены как внешние. |
|
Настройте правила приглашения в чат Укажите, кто может автоматически принимать приглашения в чат в зависимости от правил организации для совместной работы. |
Настройте обновление браузера Chrome и Chrome OS Чтобы у пользователей всегда были установлены последние исправления безопасности, включите обновления. Всегда разрешайте установку обновлений для браузера Chrome. Chrome OS по умолчанию обновляется сразу после выпуска новой версии. Убедитесь, что автоматические обновления включены для всех пользователей устройств ChromeOS. Как настроить правила Chrome для пользователей или браузеров | Как управлять обновлением устройств Chrome OS |
|
Настройте принудительный перезапуск, чтобы применять обновления Настройте уведомления пользователей о том, что для применения обновлений необходимо перезапустить браузер или устройство Chrome OS. Если пользователь не предпримет никаких действий, то через определенный период перезапуск будет выполнен принудительно. Как уведомлять пользователей о необходимости перезапустить браузер или устройство |
|
Настройте основные правила для устройств Chrome OS и браузера Chrome Настройте в консоли администратора Google следующие правила:
|
|
Настройте расширенные правила для браузера Chrome Чтобы предотвратить несанкционированный доступ, скачивание опасных файлов и утечку данных между сайтами, настройте следующие расширенные правила:
Как настроить правила для браузера Chrome на корпоративных компьютерах | Руководство по настройке правил корпоративной безопасности для браузера Chrome в среде Windows |
|
Настройте браузер на компьютерах Windows Если ваша организация использует браузер Chrome, но сотрудникам необходим доступ к устаревшим сайтам и приложениям, для которых требуется Internet Explorer, установите расширение "Поддержка альтернативного браузера". Оно позволяет автоматически переключаться между браузерами. |
Вы можете защитить аккаунты и рабочие данные пользователей на мобильных устройствах, планшетах, ноутбуках и компьютерах. Используйте управление конечными точками Google.
Изучите полный список рекомендаций.
Настройте ограничения общего доступа и совместной работы с пользователями вне домена
Настройте параметры или создайте правила для предоставления доступа внешним пользователям Запретите предоставлять общий доступ к файлам пользователям за пределами домена, отключив соответствующие настройки или создав правила доверия (с помощью которых можно более точно контролировать доступ). Это уменьшает риск утечки и кражи данных. Если вам необходимо предоставить общий доступ к файлам внешним пользователям, вы можете установить правила общего доступа для отдельных организационных подразделений или же создать список разрешенных доменов. Как разрешить предоставлять внешний доступ только определенным доменам | Как запретить сотрудникам предоставлять внешний доступ | Как создать правила доверия, чтобы ограничить внешний доступ |
|
Настройте предупреждения о предоставлении доступа к файлу внешним пользователям Если сотрудникам разрешено делиться файлами с людьми не из вашего домена, включите для сотрудников предупреждение. Это позволит им подтверждать действие, что минимизирует риск утечки данных. Как настроить предупреждения о предоставлении доступа пользователям вне организации |
|
Запретите пользователям публиковать файлы в интернете Отключите публикацию файлов в интернете. Это минимизирует риск утечки данных. Как запретить сотрудникам предоставлять доступ к файлам всем пользователям |
|
Задайте варианты предоставления общего доступа к файлам Выберите вариант предоставления общего доступа к файлам Доступ ограничен. Убедитесь, что файл, к которому не предоставлен доступ, может открыть только владелец. Вы также можете создать для пользователей из разных отделов специальные группы для предоставления доступа (целевые аудитории). |
|
Разрешите доступ к файлам только получателям Если пользователь публикует файл в Google, но не в Документах или на Диске (например, вставляет ссылку в Gmail), функция "Проверка доступа" может определить, есть ли доступ к файлу у получателей. Чтобы настроить проверку доступа, включите параметр Только для получателей. Это позволит управлять доступом к ссылкам, которыми делятся пользователи, и сокращает риск утечки данных. |
|
Исключите или снизьте риск того, что внешние пользователи смогут узнать, кто состоит в группах организации Чтобы сотрудники другой организации, использующей Google Workspace, не могли узнать, кто состоит в группах вашей организации, не разрешайте внешним организациям делиться файлами с вашими пользователями. Или, чтобы ограничить такой риск, разрешите внешний общий доступ только для доменов из белого списка. Если вы используете настройки доступа Google Диска. Для каждого организационного подразделения, которое вы хотите защитить от такого риска, выполните одно из следующих действий:
Подробнее о том, как управлять внешним доступом к данным организации… Если вы используете правила доверия для общего доступа к Диску. Чтобы ограничить риск, сначала создайте правило доверия со следующими настройками:
Подробнее о том, как создать правило доверия… Затем отключите правило по умолчанию под названием [По умолчанию] Пользователи вашей организации могут предоставлять доступ с показом предупреждения и получать объекты от кого угодно. Подробнее о том, как посмотреть и изменить настройки правила доверия… |
|
Включите обязательный вход в аккаунт Google для внешних пользователей Требуйте от внешних пользователей входа в аккаунт Google. Если у них нет аккаунта Google, его можно бесплатно создать. Это минимизирует риск утечки данных. Как отключить приглашения для внешних пользователей, у которых нет аккаунта Google |
|
Укажите, кто может перемещать контент с общих дисков Разрешите только пользователям организации перемещать файлы, хранящиеся на общих дисках, за пределы организации. |
|
Управляйте предоставлением доступа к контенту на новых общих дисках Укажите, кто может создавать общие диски, обращаться к их контенту или изменять настройки для новых общих дисков. |
Ограничения на создание локальных копий данных на Диске
Запретите доступ к документам в офлайн-режиме Чтобы минимизировать риск утечки данных, запретите доступ к документам в офлайн-режиме. Когда документы доступны офлайн, их копии хранятся локально на устройствах пользователей. Если вам нужно разрешить доступ офлайн, настройте эту функцию только для отдельных организационных подразделений. |
|
Отключите доступ к Диску через приложение для компьютеров Для доступа к Диску пользователи компьютеров могут применять приложение Google Диск для компьютеров. Чтобы минимизировать риск утечки данных, запретите доступ к Диску через это приложение. В случае необходимости разрешите такой доступ только определенным пользователям. |
Управление доступом сторонних приложений к данным организации
Запретите устанавливать дополнения Google Документов Чтобы минимизировать риск утечки данных, не разрешайте пользователям устанавливать дополнения для Google Документов из магазина дополнений. При необходимости можно развертывать определенные дополнения для Google Документов с учетом внутренних правил организации. |
Защита конфиденциальных данных
Запретите предоставлять доступ к файлам с конфиденциальными данными или показывайте предупреждение Чтобы минимизировать риск утечки данных, настройте правила DLP. Это позволит сканировать файлы для поиска конфиденциальных данных. Когда сотрудник попытается поделиться файлом с такими данными с внешними пользователями, будет выполнено указанное вами действие. Например, можно заблокировать предоставление доступа к документам, где есть номера паспортов, внешним пользователям. При этом вы получите оповещение по электронной почте. Как использовать DLP для предотвращения потери данных на Диске |
Настройка аутентификации и инфраструктуры
Выполняйте аутентификацию почты с помощью SPF, DKIM и DMARC SPF, DKIM и DMARC образуют систему проверки электронных писем, которая использует настройки DNS для аутентификации, применения цифровой подписи и защиты домена от спуфинга. Злоумышленники могут подделывать адреса отправителей, чтобы получателю казалось, что письмо пришло от пользователя из вашего домена. Чтобы не допустить этого, настройте SPF и DKIM для всех исходящих сообщений. После этого можно настроить запись DMARC, чтобы указать, как Google и другие получатели должны обрабатывать не прошедшие аутентификацию электронные письма, которые были предположительно отправлены из вашего домена. |
|
Настройте шлюзы входящей почты для работы с записями SPF Технология SPF помогает сделать так, чтобы исходящие сообщения не отправлялись в спам, но на ее работу может влиять шлюз. Если для маршрутизации входящих сообщений используется шлюз электронной почты, его необходимо правильно настроить для работы с SPF. |
|
Настройте принудительное применение протокола TLS для обмена почтой с партнерскими доменами Настройте TLS, чтобы обмен почтой с партнерскими доменами выполнялся только через безопасное соединение. Как настроить обязательное использование безопасного соединения для электронной почты |
|
Включите обязательную аутентификацию для всех одобренных отправителей Если вы создаете список адресов одобренных отправителей, которые могут обходить фильтрацию спама, включите обязательную аутентификацию. Если аутентификация отправителя отключена, в Gmail нельзя проверить, пришло ли письмо от указанного в нем человека. Обязательная аутентификация снижает риск спуфинга, фишинга и уэйлинга. Подробнее об аутентификации отправителей… |
|
Настройте записи MX для бесперебойной работы почты Настройте записи MX таким образом, чтобы запись с наивысшим приоритетом указывала на почтовые сервера Google. Это гарантирует безопасную доставку всех писем пользователям домена Google Workspace, а также снизит риск удаления данных (из-за потери сообщений) и установки вредоносного ПО. Как настроить записи MX для электронной почты в Google Workspace | Значения записей MX для Google Workspace |
Защита пользователей и организаций
Отключите доступ по протоколам IMAP и POP Иногда сотрудники используют для работы с Gmail локальные IMAP- и POP-клиенты сторонних производителей. Отключите доступ по протоколам POP и IMAP для пользователей, которым он не нужен. Это сократит риски утечки, удаления и кражи данных, а также минимизирует вероятность атак, поскольку IMAP-клиенты могут не иметь надежных средств защиты для собственных клиентов. Как включить или отключить доступ по протоколам IMAP и POP для пользователей |
|
Отключение автоматической пересылки Запретите пользователям настраивать автоматическую пересылку входящей почты на другой адрес. Это минимизирует риск кражи данных через электронную почту (это один из распространенных способов хищения информации, используемых злоумышленниками). |
|
Включите комплексное хранение почты Эта настройка позволяет сохранять копии всех сообщений, отправленных и полученных в домене с использованием Gmail и сторонних клиентов, в почтовых ящиках Gmail пользователей. Включив этот параметр, вы сможете минимизировать риск удаления данных и (если в организации используется Google Сейф) обеспечить хранение данных и применение запретов на их удаление. Как настроить комплексное хранение почты | Комплексное хранение почты и Сейф |
|
Запретите обход спам-фильтров для внутренних отправителей Отключите параметр Обход спам-фильтров для внутренних отправителей, так как добавленные в группы внешние адреса считаются внутренними. После этого спам будет фильтроваться во всей почте пользователей (включая внутреннюю переписку). Это снижает риск спуфинга, фишинга и уэйлинга. |
|
Добавьте параметр, позволяющий включать в письма специальные заголовки, во все правила маршрутизации по умолчанию Добавление специальных заголовков помогает увеличить эффективность фильтрации на следующих на маршруте серверах электронной почты и минимизировать риски спуфинга, фишинга и уэйлинга. При настройке правил маршрутизации по умолчанию установите флажок Добавить заголовки X-Gm-Spam и X-Gm-Phishy. Gmail будет добавлять к письмам заголовки, которые указывают, являются ли сообщения спамом или попыткой фишинга. Администратор следующего на маршруте сервера может использовать эту информацию, чтобы по-разному обрабатывать обычную почту, спам и фишинговые письма. |
|
Включите усовершенствованное сканирование писем перед доставкой Если сервис Gmail определит, что полученное письмо может быть фишинговым, этот параметр позволит отправить сообщение на дополнительные проверки. Предотвращение фишинга методом сканирования сообщений перед доставкой |
|
Включите предупреждение об отправке ответа получателям за пределами домена Если пользователь не переписывается с внешним получателем регулярно и адрес получателя отсутствует в списке контактов пользователя, последний увидит предупреждение и сможет отменить отправку. Как управлять предупреждениями об отправке писем внешним получателям в Gmail |
|
Включите защиту от вредоносного контента в прикрепленных файлах Системы Google сканируют все входящие сообщения на наличие вредоносного ПО вне зависимости от того, включена ли защита от вредоносного контента в прикрепленных файлах. Однако она помогает обнаружить вредоносные письма, которые были пропущены другими проверками. Как включить защиту от вредоносного контента в прикрепленных файлах |
|
Включите дополнительную защиту для ссылок и внешнего контента |
|
Включите дополнительную защиту от спуфинга Системы Google сканируют входящие сообщения на предмет спуфинга вне зависимости от того, настроены ли дополнительные параметры защиты от него. Включите настройки безопасности для спуфинга и аутентификации, чтобы, например, минимизировать риск спуфинга, основанного на подмене доменных имен или имен сотрудников. Как включить настройки безопасности для спуфинга и аутентификации |
Обеспечение безопасности при выполнении повседневных задач Gmail
Соблюдайте осторожность при переопределении спам-фильтров Чтобы не допустить увеличения количества спама, с осторожностью переопределяйте стандартные спам-фильтры Gmail.
|
|
Не добавляйте домены в список одобренных отправителей Если вы создали список одобренных отправителей и у вас установлен флажок Не применять спам-фильтры к сообщениям, полученным с адресов или доменов, которые перечислены в списках разрешенных отправителей, удалите из этого списка все домены. Это поможет снизить риск спуфинга, фишинга и уэйлинга. |
|
Не добавляйте в белый список IP-адреса Как правило, сообщения, отправленные с IP-адресов из белого списка, не помечаются как спам. Чтобы в полной мере использовать преимущества службы фильтрации спама и определять его наиболее эффективным образом, IP-адреса ваших и партнерских серверов электронной почты, с которых в Gmail должны приходить письма, следует добавлять не в белый список IP-адресов, а в настройки шлюза входящей почты. Как добавить в белый список IP-адреса отправителей в Gmail | Настройка шлюза входящей почты |
Защита конфиденциальных данных
Сканируйте и блокируйте письма с конфиденциальными данными Чтобы минимизировать риск утечки данных, сканируйте исходящие сообщения с помощью стандартных детекторов DLP. Вы можете настроить действие, которое будет выполняться, когда пользователь получает или отправляет письмо с конфиденциальной информацией. Например, можно настроить правила таким образом, чтобы попытка пользователя отправить сообщение, где есть номера кредитных карт, блокировалась, а вы при этом получали оповещение по электронной почте. |
Используйте группы, предназначенные для обеспечения безопасности Если требуется, чтобы только определенные пользователи имели доступ к приложениям и ресурсам с конфиденциальными данными, настраивайте доступ для групп безопасности. Это минимизирует риск утечки данных. |
|
Добавьте условия обеспечения безопасности к ролям администраторов Разрешите управлять группами безопасности только определенным администраторам. Другим администраторам разрешите заниматься только группами остальных типов. Это минимизирует риск утечки данных и обеспечивает защиту от внутренних угроз. |
|
Ограничьте доступ к группам Выберите параметр "Ограниченный доступ", чтобы разрешить доступ к группам только пользователям своего домена (при этом участники групп по-прежнему смогут получать письма от пользователей за его пределами). Это минимизирует риск утечки данных. |
|
Разрешите создание групп только администраторам Разрешите создавать группы только администраторам. Это минимизирует риск утечки данных. |
|
Настройте доступ к группам Рекомендации
|
|
Отключите некоторые настройки доступа к внутренним группам Приведенные ниже параметры позволяют всем в интернете присоединяться к группе, отправлять ей сообщения и просматривать архив обсуждений. Отключите их для внутренних групп.
|
|
Включите модерацию спама для групп Вы можете отправлять сообщения в очередь на модерацию с уведомлением модераторов или без него, немедленно отклонять спам или разрешить публикацию сообщений без модерации. |
Запретите сотрудникам предоставлять доступ к сайтам пользователям за пределами домена Настройка параметров совместного доступа к Google Сайтам | Как настроить параметры совместного доступа в классической версии Сайтов |
Работайте с аккаунтами с доступом к Сейфу как с имеющими доступ к важным данным. Защищайте аккаунты, которым назначена роль администратора Сейфа, так же, как аккаунты суперадминистраторов. |
|
Регулярно проверяйте действия, связанные с Сейфом Пользователи с правами доступа к Сейфу могут искать и экспортировать данные других сотрудников, а также изменять правила хранения. При этом возможно удаление (без возможности восстановления) информации, которую требовалось сохранять. Отслеживайте действия, связанные с Сейфом, чтобы убедиться, что доступ к данным и правила хранения настроены верно. |
Дальнейшие действия: наблюдение, анализ и устранение неполадок
Проверяйте настройки безопасности и анализируйте действия Регулярно открывайте центр безопасности, чтобы проверить уровень защиты в организации, проанализировать возникшие неполадки и принять меры по их устранению. |
|
Просматривайте журнал аудита администрирования В журнале аудита администрирования хранится информация обо всех задачах, выполненных в консоли администратора Google, а также о том, кто и когда их выполнил и с какого IP-адреса вошел в аккаунт. |