Как обеспечить безопасность аккаунтов администраторов: рекомендации

В этой статье вы найдете рекомендации, которые помогут вам лучше защитить аккаунты администраторов, а значит, и всю компанию.

Защита аккаунтов администраторов

Включите обязательную двухэтапную аутентификацию для аккаунтов администраторов

Если посторонний узнает пароль администратора, двухэтапная аутентификация поможет защитить его аккаунт от несанкционированного доступа. Особенно важно, чтобы эту функцию использовали суперадминистраторы, ведь из их аккаунтов можно получить доступ ко всем данным компании и сотрудников.

Используйте для двухэтапной аутентификации электронные ключи

В качестве второго фактора аутентификации можно использовать, например, электронный ключ, уведомления от Google, приложение Google Authenticator или резервные коды. Электронный ключ – это небольшое физическое устройство, которое используется для двухфакторной аутентификации. Оно помогает обезопасить аккаунты от фишинга и является наиболее защищенным вторым фактором аутентификации.

Не используйте аккаунт суперадминистратора для выполнения повседневных задач

Суперадминистраторы могут использовать весь спектр инструментов для управления аккаунтом организации, а также сбрасывать пароли других суперадминистраторов.

Для повседневной работы каждому из них следует использовать отдельный аккаунт пользователя, а в аккаунт суперадминистратора рекомендуем входить только для выполнения определенных задач, недоступных другим ролям, таких как настройка двухэтапной аутентификации и восстановление аккаунта другого администратора.

Попросите суперадминистраторов выходить из аккаунта после каждого сеанса работы

Если суперадминистратор не выходит из аккаунта, выполнив свои задачи, это повышает риск фишинговых атак. Суперадминистраторам рекомендуется выполнять вход в аккаунт только для выполнения определенных обязанностей, а затем выходить из него.

Управление аккаунтами суперадминистраторов

Создайте несколько аккаунтов суперадминистраторов

В организации должно быть несколько аккаунтов суперадминистраторов, принадлежащих разным сотрудникам. Если один из них взломают или к нему будет утрачен доступ, до его восстановления критически важные задачи сможет выполнять другой суперадминистратор.

Не используйте один аккаунт суперадминистратора для нескольких сотрудников

Если в вашей организации несколько человек выполняют роль суперадминистраторов, но используют для этого один и тот же аккаунт (например, admin@example.com), вы не сможете понять, кто из них несет ответственность за те или иные действия, зарегистрированные в журнале аудита. Каждому суперадминистратору необходимо создать отдельный, легко идентифицируемый аккаунт.

Например, у вас есть два суперадминистратора: Мария и Иван. У каждого из них должен быть аккаунт суперадминистратора и аккаунт обычного пользователя:

  • у Марии – admin-maria@example.com и maria@example.com;
  • у Ивана – admin-ivan@example.com и ivan@example.com.
Делегируйте повседневные административные задачи другим пользователям

Чтобы аккаунты суперадминистраторов использовались только в случае необходимости, делегируйте повседневные административные задачи другим пользователям. Например, можно передать рутинные задачи, такие как сброс паролей, обычному пользователю, а право на удаление аккаунтов оставить только суперадминистраторам.

При делегировании административных полномочий руководствуйтесь принципом минимальных привилегий: предоставляйте каждому администратору доступ только к тем ресурсам и инструментам, которые необходимы для выполнения его обычных задач.

Отслеживание действий в аккаунтах администраторов

Настройте оповещения по электронной почте для администраторов

Для отслеживания действий администраторов и потенциальных угроз безопасности настройте оповещения по электронной почте об определенных событиях. Так администраторы смогут узнавать, например, о подозрительных попытках входа, взломе мобильных устройств и изменениях, внесенных другим администратором.

Оповещения о событиях приходят каждый раз, когда они происходят.

Просматривайте журнал аудита администрирования

Для отслеживания действий администраторов также можно использовать журнал аудита администрирования. В нем хранится информация обо всех задачах, выполненных в консоли администратора Google, а также о том, кто и когда их выполнил и с какого IP-адреса вошел в аккаунт.

Действия суперадминистраторов указаны в столбце "Описание события" как _SEED_ADMIN_ROLE рядом с именем пользователя.

Подготовка к восстановлению аккаунта администратора

Добавьте данные для восстановления аккаунтов администраторов

Каждому администратору необходимо добавить данные для восстановления своего аккаунта.

Если администратор забудет пароль, то сможет нажать на ссылку Нужна помощь? на странице входа, чтобы получить от Google новый пароль по телефону, электронной почте или в SMS. Для этого необходимо указать в аккаунте резервный номер телефона и адрес электронной почты.

Подготовьте сведения, необходимые для изменения пароля

Если суперадминистратору не удастся сбросить пароль с помощью резервного номера телефона или электронной почты и другой суперадминистратор не сможет ему помочь, потребуется обратиться в Службу поддержки Google.

Для подтверждения личности специалист Google запросит следующие сведения об аккаунте организации:

  • дата создания аккаунта;
  • дополнительный адрес электронной почты, который изначально был связан с аккаунтом и использовался для регистрации;
  • номер заказа в Google, связанный с аккаунтом (если есть);
  • количество созданных аккаунтов пользователей;
  • платежный адрес, связанный с аккаунтом;
  • тип использованной кредитной карты и четыре последних цифры ее номера.

Специалист Google также попросит администратора подтвердить право собственности на записи DNS, связанные с доменом. Поэтому администратору необходимо подготовить учетные данные для входа на сайт регистратора, чтобы у него была возможность изменить настройки DNS домена.

Зарегистрируйте запасной электронный ключ

Администраторам следует зарегистрировать несколько электронных ключей для своего аккаунта и хранить их в безопасном месте. Таким образом, если основной электронный ключ будет утерян или украден, они все равно смогут войти в аккаунт.

Заранее сохраните резервные коды

Если администратор потеряет электронный ключ или телефон, на который приходят коды подтверждения двухэтапной аутентификации или уведомления от Google, то сможет выполнить вход с помощью резервного кода.

Администраторам необходимо создать и распечатать резервные коды на случай необходимости. Их следует хранить в безопасном месте.

Создайте дополнительный аккаунт администратора

Если администратор не сможет войти в свой аккаунт, другой администратор создаст для него резервный код для входа с использованием двухэтапной аутентификации.

Эта информация оказалась полезной?
Как можно улучшить эту статью?