Как обеспечить безопасность аккаунтов администраторов

В этой статье вы найдете рекомендации, которые помогут вам лучше защитить аккаунты администраторов, а значит, и всю компанию.

Ознакомьтесь также с этими рекомендациями по обеспечению безопасности.

Защита аккаунтов администраторов | Управление аккаунтами суперадминистраторов | Отслеживание действий | Подготовка к восстановлению доступа

Защита аккаунтов администраторов

Сделайте двухэтапную аутентификацию обязательной для аккаунтов администраторов

Если посторонний узнает пароль администратора, двухэтапная аутентификация поможет защитить его аккаунт от несанкционированного доступа. Особенно важно, чтобы эту функцию использовали суперадминистраторы, поскольку из их аккаунтов можно получить доступ ко всем данным компании и сотрудников.

Как защитить компанию с помощью двухэтапной аутентификации

Используйте для двухэтапной аутентификации электронные ключи

В качестве второго этапа аутентификации можно использовать, например, электронный ключ, уведомления от Google, приложение Google Authenticator или резервные коды. Электронный ключ – это небольшое физическое устройство, которое используется для двухэтапной аутентификации. Оно помогает обезопасить аккаунты от фишинга и является наиболее надежным вторым этапом аутентификации.

Электронные ключи

Не используйте один аккаунт администратора для нескольких сотрудников

У каждого администратора должен быть собственный аккаунт, по названию которого можно легко определить сотрудника. Если разные сотрудники используют для входа в консоль администратора один аккаунт (например, [email protected]), вы не сможете понять, кто из них выполнял те или иные действия, зарегистрированные в журнале аудита.

Защитите аккаунты пользователей от целенаправленных атак

Вы можете выполнить сразу несколько рекомендаций из этой статьи, если зарегистрируете аккаунты суперадминистраторов и других пользователей, имеющих доступ к важным данным, в программе Дополнительной защиты.

Как защитить пользователей с помощью программы Дополнительной защиты

Управление аккаунтами суперадминистраторов

Создайте несколько аккаунтов суперадминистраторов

В организации должно быть несколько аккаунтов суперадминистраторов, принадлежащих разным сотрудникам (аккаунт администратора не следует использовать совместно). Если один из аккаунтов взломают или к нему будет потерян доступ, до его восстановления критически важные задачи сможет выполнять другой суперадминистратор.

Не используйте аккаунт суперадминистратора для выполнения повседневных задач

Предоставьте каждому суперадминистратору два аккаунта: аккаунт суперадминистратора и отдельный аккаунт для повседневной работы. Аккаунт суперадминистратора следует использовать только для выполнения определенных задач, недоступных другим ролям, таких как настройка двухэтапной аутентификации, управление оплатой и пользовательскими лицензиями и восстановление аккаунта другого администратора.

Для выполнения повседневных задач суперадминистраторы должны пользоваться обычным корпоративным аккаунтом.

Например, если у вас два суперадминистратора – Мария и Иван, то у каждого из них должен быть отдельный аккаунт суперадминистратора с понятным названием и аккаунт обычного пользователя:

Следите за важными уведомлениями для администраторов

Если вы редко входите в основной аккаунт администратора, то можете пропустить обязательные служебные уведомления от Google. Чтобы этого не происходило, настройте в этом аккаунте пересылку на другой адрес электронной почты, которым вы пользуетесь регулярно.

Как настроить отправку уведомлений об аккаунте и платежах другому администратору

Попросите суперадминистраторов выходить из аккаунта после каждого сеанса работы

Если суперадминистратор не выходит из аккаунта, выполнив свои задачи, это повышает риск фишинговых атак. Суперадминистраторам рекомендуется входить в аккаунт только для выполнения определенных задач, а затем выходить из него.

Повседневные административные задачи лучше выполнять в аккаунтах, не имеющих прав суперадминистратора.

Используйте аккаунт суперадминистратора только в случае необходимости. Повседневные административные задачи лучше выполнять в аккаунте с ограниченными правами администратора. Руководствуйтесь принципом минимальных привилегий: пользователю предоставляются только ресурсы и инструменты, необходимые для выполнения его обычных задач. Например, ему можно поручить создание аккаунтов и сброс паролей, но не разрешать удалять аккаунты.

О ролях администратора

Выберите, как суперадминистраторы будут восстанавливать доступ к аккаунту

Вы можете указать, как суперадминистраторы будут восстанавливать доступ к аккаунту, если забудут пароль, Для этого нужно включить или отключить самостоятельный сброс пароля. Для большинства текущих и всех новых клиентов восстановление доступа к аккаунту суперадминистратора отключено по умолчанию. Если вы уже давно пользуетесь Workspace и в вашей организации менее трех суперадминистраторов или 500 пользователей, этот параметр включен по умолчанию в соответствии с настройками, которые использовались ранее.

Как разрешить суперадминистраторам восстанавливать пароль

Отслеживание действий в аккаунтах администраторов

Настройте оповещения по электронной почте для администраторов

Для отслеживания действий администраторов и потенциальных угроз безопасности настройте оповещения по электронной почте об определенных событиях. Так администраторы смогут узнавать, например, о подозрительных попытках входа, взломе мобильных устройств и изменениях, сделанных другим администратором.

О каждом событии приходит отдельное оповещение.

Оповещения для администратора по электронной почте и системные правила

Изучайте события в журнале аудита администратора

В данных о событиях в журнале хранится информация обо всех задачах, выполненных в консоли администратора Google, а также о том, кто и когда их выполнил и с какого IP-адреса вошел в аккаунт.

Действия суперадминистраторов указаны в столбце Описание события как _SEED_ADMIN_ROLE рядом с именем пользователя.

Журнал аудита администратора

Подготовка к восстановлению доступа к аккаунту администратора

Добавьте способы восстановления доступа к аккаунтам администраторов

Каждому администратору необходимо добавить способы восстановления доступа к аккаунту.

Если администратор забудет пароль, он сможет нажать на ссылку Нужна помощь? на странице входа, и Google отправит ему новый пароль по телефону, в текстовом сообщении или по электронной почте. Для этого необходимо указать в аккаунте резервный номер телефона и адрес электронной почты.

Как добавить данные для восстановления пароля

Храните в доступном месте информацию для сброса пароля

Если самостоятельное восстановление аккаунта для суперадминистраторов включено, суперадминистраторы, добавившие в аккаунт варианты восстановления, смогут сбросить пароль с помощью вариантов восстановления доступа по электронной почте или телефону.

Если самостоятельное восстановление аккаунта суперадминистратора отключено и другого суперадминистратора, который сможет сбросить пароль, нет, суперадминистратор, которому нужно сбросить пароль, сможет использовать мастер восстановления.

Для подтверждения личности специалист Google запросит следующие сведения об аккаунте организации:

  • дату создания аккаунта;
  • дополнительный адрес электронной почты, который изначально был связан с аккаунтом и использовался для регистрации;
  • номер заказа в Google, связанный с аккаунтом (если есть);
  • количество созданных аккаунтов пользователей;
  • платежный адрес, связанный с аккаунтом;
  • тип использованной кредитной карты и четыре последние цифры ее номера.

Специалист Google также попросит администратора подтвердить право собственности на домен с помощью записей DNS. Администратору необходимо подготовить учетные данные для входа на сайт регистратора, чтобы у него была возможность изменить настройки DNS домена.

Как сбросить пароль администратора: что делать, если не удается сбросить пароль с помощью телефона или электронной почты

Зарегистрируйте запасной электронный ключ

Администраторам следует зарегистрировать для аккаунта несколько электронных ключей и хранить их в безопасном месте. Таким образом, если основной электронный ключ будет утерян или украден, они все равно смогут войти в аккаунт.

Как добавить электронный ключ в аккаунт

Заранее сохраните резервные коды

Если администратор потеряет электронный ключ или телефон, на который приходят коды подтверждения двухэтапной аутентификации или уведомления от Google, то сможет выполнить вход с помощью резервного кода.

Администраторам следует создать и распечатать резервные коды на случай необходимости и хранить их в безопасном месте.

Как войти в аккаунт с помощью резервных кодов

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
11214485328328171164
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false