Best practice per la protezione degli account amministratore

Segui queste best practice per migliorare la sicurezza dei tuoi account amministratore e, di conseguenza, della tua attività nel suo insieme.

Per ulteriori best practice per la sicurezza, consulta gli elenchi di controllo di sicurezza.

Proteggere gli account amministratore

Richiedere la verifica in due passaggi per gli account amministratore

Se qualcuno riesce a ottenere la password di amministratore, la verifica in due passaggi (V2P) aiuta a proteggere l'account da accessi non autorizzati. È particolarmente importante che i super amministratori utilizzino la verifica in due passaggi perché i loro account controllano l'accesso a tutti i dati aziendali e dei dipendenti dell'organizzazione.

Proteggere la tua attività con la verifica in due passaggi

Utilizzare i token di sicurezza per la verifica in due passaggi

Esistono diversi metodi per utilizzare la verifica in due passaggi, tra cui token di sicurezza, messaggio di Google, Google Authenticator e codici di backup. I token di sicurezza sono piccoli dispositivi hardware che vengono utilizzati per l'autenticazione a due fattori. Servono per proteggere dalle minacce di phishing e rappresentano la forma di V2P più sicura.

Proteggere la tua attività con la verifica in due passaggi - Token di sicurezza

Non condividere gli account amministratore con gli utenti

Assegna a ciascun amministratore un account amministratore identificabile. Altrimenti, se più persone utilizzano lo stesso account amministratore, ad esempio admin@example.com, per accedere alla Console di amministrazione, non sarà possibile distinguere quale amministratore è responsabile di specifiche attività registrate nel log di controllo.

Difendere gli utenti da attacchi mirati

Puoi applicare contemporaneamente molti dei consigli riportati in questo articolo registrando gli account super amministratore e altri account sensibili al programma di protezione avanzata.

Proteggere gli utenti con il programma di protezione avanzata

Gestire gli account super amministratore

Configurare più account super amministratore

È bene che un'organizzazione abbia più di un account super amministratore e che ciascuno sia gestito da una persona diversa (evita di condividere gli account). In questo modo, se un account viene perso o violato, un altro super amministratore può eseguire attività critiche mentre l'altro account viene ripristinato.

Non utilizzare un account di super amministratore per le attività quotidiane

Assegna due account a ogni super amministratore: l'account super amministratore e un account separato per le attività quotidiane. Gli utenti devono accedere all'account super amministratore esclusivamente per eseguire attività di super amministratore, come, ad esempio, configurare la verifica in due passaggi (V2P), gestire la fatturazione e le licenze utente o aiutare un altro amministratore a recuperare il proprio account.

I super amministratori devono utilizzare un account non amministratore separato per le attività quotidiane.

Ad esempio, se Maria e Giacomo sono super amministratori, ciascuno di loro dovrà avere un account amministratore identificabile come tale e un account utente, come indicato di seguito:

  • admin-maria@example.com, maria@example.com
  • admin-giacomo@example.com, giacomo@example.com

Assicurarsi di ricevere gli annunci importanti per gli amministratori

Se non esegui spesso l'accesso con il tuo account amministratore principale, potresti perdere gli annunci di servizio obbligatori importanti provenienti da Google. Per assicurarti di ricevere questi annunci, configura un contatto email secondario per inviarli a un account che utilizzi regolarmente.

Inviare notifiche relative alla fatturazione e all'account a un altro amministratore

Non rimanere collegati a un account super amministratore

Rimanere collegati a un account super amministratore quando non si eseguono attività amministrative specifiche può aumentare l'esposizione agli attacchi di phishing. I super amministratori dovrebbero effettuare l'accesso per svolgere operazioni specifiche dettate dalle necessità, quindi uscire.

Utilizzare account non super amministratore per le attività amministrative quotidiane

Utilizza l'account super amministratore solo quando necessario. Delega le attività di amministratore ad account utente con ruoli amministrativi limitati. Utilizza il principio del privilegio minimo, in cui ogni utente può accedere soltanto alle risorse e agli strumenti necessari per le attività comuni. Ad esempio, potresti concedere a un amministratore le autorizzazioni per creare account utente e reimpostare le password, ma non per eliminare gli account.

Informazioni sui ruoli di amministratore

Monitorare le attività degli account amministratore

Configurare gli avvisi via email per gli amministratori

Per controllare le attività amministrative e tenere traccia dei potenziali rischi per la sicurezza, configura gli avvisi via email per gli amministratori per determinati eventi, ad esempio tentativi di accesso sospetti, compromissione dei dispositivi mobili o modifiche apportate da un altro amministratore.

Quando attivi un avviso per un'attività, riceverai un'email ogni volta che questa si verifica.

Avvisi via email per gli amministratori e regole definite dal sistema

Esaminare il log di controllo della Console di amministrazione

Utilizza il log di controllo della Console di amministrazione per visualizzare la cronologia di tutte le attività eseguite nella Console di amministrazione Google, gli amministratori che le hanno eseguite, la data e l'indirizzo IP da cui l'amministratore ha eseguito l'accesso.

L'attività del super amministratore viene visualizzata nella colonna Descrizione evento come _SEED_ADMIN_ROLE, seguita dal nome utente.

Log di controllo della Console di amministrazione

Prepararsi per il recupero dell'account amministratore

Aggiungere opzioni di recupero agli account amministratore

Gli amministratori dovrebbero aggiungere opzioni di recupero al proprio account amministratore.

Se un amministratore dimentica la password, può fare clic sul link Serve aiuto? nella pagina di accesso e Google invierà una nuova password tramite telefono, SMS o email. Per farlo, Google ha bisogno di un numero di telefono e di un indirizzo email di recupero dell'account.

Aggiungere opzioni di recupero dell'account al proprio account amministratore

Tenere a portata di mano le informazioni per la reimpostazione della password

Se un super amministratore non è in grado di reimpostare la propria password tramite le opzioni di recupero via email o telefono e non è disponibile un altro super amministratore che possa farlo, può utilizzare la procedura guidata di recupero.

Per verificare l'identità, Google pone alcune domande sull'account dell'organizzazione:

  • La data di creazione dell'account
  • L'indirizzo email secondario originale associato all'account (email utilizzata per la registrazione)
  • Il numero dell'ordine di Google associato all'account (se applicabile)
  • Numero di account utente creati
  • Indirizzo di fatturazione associato all'account
  • Tipo di carta di credito utilizzata e le sue ultime quattro cifre

Google chiede inoltre all'amministratore di verificare la proprietà DNS del dominio, quindi l'amministratore deve avere le credenziali per modificare le impostazioni DNS del dominio presso il registrar.

Reimpostare la password amministratore - Se le opzioni per telefono e indirizzo email non sono disponibili

Registrare un altro token di sicurezza

Gli amministratori dovrebbero registrare un altro token di sicurezza per il proprio account amministratore e conservarlo in un luogo sicuro. Se il token di sicurezza principale viene perso o rubato, potranno continuare ad accedere al proprio account.

Aggiungere un token di sicurezza al proprio account

Salvare in anticipo i codici di backup

Se un amministratore perde il token di sicurezza o il telefono (su cui riceve il codice di verifica V2P o un messaggio di Google), può utilizzare un codice di backup per eseguire l'accesso.

Gli amministratori dovrebbero generare e stampare codici di backup da utilizzare in caso di necessità e conservarli in un luogo sicuro.

Generare e stampare codici di backup

Argomenti correlati

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
570595164555357690
true
Cerca nel Centro assistenza
true
true
true
false
false