แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับบัญชีผู้ดูแลระบบ

ทำตามแนวทางปฏิบัติที่ดีที่สุดเหล่านี้เพื่อปรับปรุงความปลอดภัยของบัญชีผู้ดูแลระบบและรวมถึงธุรกิจของคุณทั้งหมด

ปกป้องบัญชีผู้ดูแลระบบ

ต้องมีข้อมูลอื่นในการตรวจสอบสิทธิ์ขั้นที่สองสำหรับบัญชีผู้ดูแลระบบ

หากมีผู้อื่นได้รับรหัสผ่านผู้ดูแลระบบ การยืนยันแบบ 2 ขั้นตอน (2SV) จะช่วยปกป้องบัญชีจากการเข้าถึงโดยไม่ได้รับอนุญาต สิ่งสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบขั้นสูงคือการใช้ 2SV เนื่องจากบัญชีของตนกำหนดการเข้าถึงข้อมูลทางธุรกิจและพนักงานทั้งหมดในองค์กร

ใช้คีย์ความปลอดภัยสำหรับการยืนยันแบบ 2 ขั้นตอน

มีวิธีการใช้ 2SV หลายวิธีซึ่งประกอบด้วยคีย์ความปลอดภัย, Google Prompt, Google Authenticator และรหัสสำรอง คีย์ความปลอดภัยเป็นอุปกรณ์ฮาร์ดแวร์ขนาดเล็กที่ใช้สำหรับข้อมูลอื่นในการตรวจสอบสิทธิ์ขั้นที่สอง ซึ่งช่วยป้องกันภัยคุกคามฟิชชิ่งและเป็นรูปแบบที่ปลอดภัยที่สุดของ 2SV

อย่าใช้บัญชีผู้ดูแลระบบขั้นสูงสำหรับกิจกรรมประจำวัน

ผู้ดูแลระบบขั้นสูงจะจัดการบัญชีบริษัทในทุกด้านและรีเซ็ตรหัสผ่านของผู้อื่นได้

ผู้ดูแลระบบขั้นสูงควรใช้บัญชีผู้ใช้แยกต่างหากสำหรับกิจกรรมประจำวัน และควรลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงของตนเมื่อต้องการดำเนินการหน้าที่เฉพาะผู้ดูแลระบบระดับสูง เช่น การกำหนดค่า 2SV หรือช่วยให้ผู้ดูแลระบบรายอื่นกู้คืนบัญชีของตน

อย่าเข้าลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้

การลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้เมื่อคุณไม่ได้ดำเนินการด้านการดูแลระบบที่เฉพาะเจาะจงอาจเป็นการเพิ่มความเสี่ยงต่อการโจมตีโดยฟิชชิง ผู้ดูแลระบบขั้นสูงควรลงชื่อเข้าใช้เมื่อจำเป็นต้องดำเนินการเฉพาะเจาะจงและออกจากระบบ

จัดการบัญชีผู้ดูแลระบบขั้นสูง

ตั้งค่าบัญชีผู้ดูแลระบบขั้นสูงหลายบัญชี

ธุรกิจควรมีบัญชีผู้ดูแลระบบระดับสูงมากกว่าหนึ่งบัญชีซึ่งแต่ละบัญชีมีการจัดการโดยบุคคลแยกต่างหาก หากบัญชีหนึ่งสูญหายหรือถูกบุกรุก ผู้ดูแลระบบขั้นสูงรายอื่นจะทำงานสำคัญในขณะที่บัญชีอื่นๆ ได้รับการกู้คืน

สร้างบัญชีบทบาทผู้ดูแลระบบขั้นสูงต่อผู้ใช้

หากมีผู้ดูแลระบบขั้นสูงหลายรายและแต่ละรายใช้ admin@example.com เพื่อลงชื่อเข้าใช้ คุณจะไม่เห็นว่าผู้ดูแลระบบขั้นสูงคนใดที่รับผิดชอบกิจกรรมในบันทึกการตรวจสอบ ผู้ดูแลระบบขั้นสูงแต่ละรายควรมีบัญชีผู้ดูแลระบบที่สามารถระบุตัวตนได้

ตัวอย่างเช่น หาก Maria และ James เป็นผู้ดูแลระบบขั้นสูง พวกเขาควรมีบัญชีบทบาทผู้ดูแลระบบขั้นสูงต่อผู้ใช้และบัญชีผู้ใช้:

  • admin-maria@example.com, maria@example.com
  • admin-james@example.com, james@example.com
มอบหมายงานผู้ดูแลระบบรายวันให้กับบัญชีผู้ใช้

หากต้องการกระตุ้นให้ใช้บัญชีผู้ดูแลระบบขั้นสูงเมื่อจำเป็นเท่านั้น ให้มอบหมายการดูแลระบบแบบปกติในแต่ละวันแก่บัญชีผู้ใช้ ตัวอย่างเช่น คุณมอบหมายกิจกรรมประจำ เช่น การรีเซ็ตรหัสผ่านบัญชีผู้ใช้แต่อนุญาตให้เฉพาะผู้ดูแลระบบขั้นสูงเท่านั้นที่จะลบบัญชีได้

เมื่อต้องการมอบสิทธิ์ผู้ดูแลระบบ ให้ใช้รูปแบบสิทธิ์ขั้นต่ำ ในรูปแบบของสิทธิ์ขั้นต่ำ ผู้ดูแลระบบแต่ละรายจะมีสิทธิ์เข้าถึงเฉพาะทรัพยากรและเครื่องมือที่ต้องการสำหรับงานทั่วไปในบัญชีประจำวัน

ตรวจสอบกิจกรรมในบัญชีผู้ดูแลระบบ

ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบ

ตรวจสอบกิจกรรมของผู้ดูแลระบบและติดตามความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบสำหรับเหตุการณ์บางอย่าง เช่น การลงชื่อเข้าใช้ที่น่าสงสัย อุปกรณ์เคลื่อนที่ที่ถูกบุกรุก หรือการเปลี่ยนแปลงโดยผู้ดูแลระบบรายอื่น

เมื่อคุณเปิดการแจ้งเตือนสำหรับกิจกรรม คุณจะได้รับอีเมลทุกครั้งที่กิจกรรมเกิดขึ้น

ตรวจดูบันทึกการตรวจสอบของผู้ดูแลระบบ

บันทึกการตรวจสอบของผู้ดูแลระบบเป็นอีกเครื่องมือหนึ่งในการตรวจสอบกิจกรรมของผู้ดูแลระบบ บันทึกการตรวจสอบของผู้ดูแลระบบจะแสดงประวัติของทุกงานที่ดำเนินการในคอนโซลผู้ดูแลระบบของ Google พร้อมทั้งระบุผู้ดูแลระบบที่ดำเนินงานนั้น วันที่ และที่อยู่ IP ที่ผู้ดูแลระบบลงชื่อเข้าใช้

กิจกรรมจากผู้ดูแลระบบขั้นสูงจะปรากฏในคอลัมน์คำอธิบายกิจกรรมเป็น _SEED_ADMIN_ROLE ตามด้วยชื่อผู้ใช้

เตรียมการกู้คืนบัญชีผู้ดูแลระบบ

เพิ่มตัวเลือกการกู้คืนสำหรับบัญชีผู้ดูแลระบบ

ผู้ดูแลระบบควรเพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของตน

หากผู้ดูแลระบบลืมรหัสผ่าน ก็สามารถคลิกได้ที่ต้องการความช่วยเหลือ ในหน้าลงชื่อเข้าใช้และ Google จะส่งรหัสผ่านใหม่ทางโทรศัพท์ ข้อความ หรืออีเมล หากต้องการดำเนินการนี้ Google จำเป็นต้องมีหมายเลขโทรศัพท์สำหรับการกู้คืนและที่อยู่อีเมลสำหรับบัญชี

รวบรวมข้อมูลสำหรับการรีเซ็ตรหัสผ่าน

หากผู้ดูแลระบบขั้นสูงไม่สามารถรีเซ็ตรหัสผ่านของตนโดยใช้ตัวเลือกการกู้คืนทางอีเมลหรือโทรศัพท์และผู้ดูแลระบบขั้นสูงรายอื่นรีเซ็ตรหัสผ่านไม่ได้ พวกเขาติดต่อทีมสนับสนุนของ Google เพื่อขอความช่วยเหลือได้

หากต้องการการยืนยันข้อมูลประจำตัว Google จะถามคำถามเกี่ยวกับบัญชีขององค์กรดังนี้

  • วันที่สร้างบัญชี
  • ที่อยู่อีเมลสำรองเดิมที่เชื่อมโยงกับบัญชี (อีเมลที่ใช้ลงชื่อสมัครใช้)
  • หมายเลขคำสั่งซื้อของ Google ที่เชื่อมโยงกับบัญชี (หากมี)
  • จำนวนบัญชีผู้ใช้ที่สร้างขึ้น
  • ที่อยู่เรียกเก็บเงินที่เชื่อมโยงกับบัญชี
  • ประเภทบัตรเครดิตที่ใช้และตัวเลข 4 ตัวสุดท้าย

Google ขอให้ผู้ดูแลระบบตรวจสอบความเป็นเจ้าของ DNS ของโดเมนเพื่อให้ผู้ดูแลระบบมีข้อมูลเข้าสู่ระบบเพื่อแก้ไขการตั้งค่า DNS ของโดเมนกับผู้รับจดทะเบียนของตน

ลงทะเบียนคีย์ความปลอดภัยสำรอง

ผู้ดูแลระบบควรลงทะเบียนคีย์ความปลอดภัยมากกว่า 1 รหัสสำหรับบัญชีผู้ดูแลระบบและเก็บไว้ในที่ปลอดภัย หากคีย์ความปลอดภัยหลักสูญหายหรือถูกขโมย พวกเขาจะยังคงลงชื่อเข้าใช้บัญชีได้

บันทึกรหัสสำรองล่วงหน้า

หากผู้ดูแลระบบลืมรหัสรักษาความปลอดภัยหรือโทรศัพท์ (ที่พวกเขาได้รับรหัสยืนยัน 2SV หรือ Google prompt) ผู้ดูแลระบบจะใช้รหัสสำรองในการลงชื่อเข้าใช้ได้

ผู้ดูแลระบบควรสร้างและพิมพ์รหัสสำรองในกรณีที่จำเป็น และเก็บรหัสสำรองไว้ในที่ปลอดภัย

ตั้งค่าผู้ดูแลระบบเพิ่มเติม

หากผู้ดูแลระบบลงชื่อเข้าใช้บัญชีผู้ดูแลระบบไม่ได้ ผู้ดูแลระบบรายอื่นจะสามารถสร้างรหัสสำรองเพื่อลงชื่อเข้าใช้โดยใช้ 2SV ได้

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร