הפעלת הרשמת משתמשים לתוכנית ההגנה המתקדמת

הפעלת האפשרות למשתמשים להירשם בעצמם לתוכנית ההגנה המתקדמת.

שלב 1: זיהוי משתמשים שפגיעים להתקפה ובחירתם להרשמה

איך עורכים סקר בארגון כדי לזהות משתמשים פגיעים

  1. מזהים משתמשים פגיעים שרוצים לכלול בתוכנית ההגנה המתקדמת.
    התקפות רבות מתחילות בפגיעה ביעדים שנחשבים לבעלי ערך נמוך בארגון, ומתפשטות משם. מומלץ לתכנן לכלול עוד תפקידים ואנשים בהמשך. הרשימה הבאה מכילה כמה יעדים בעלי ערך גבוה שכדאי להגן עליהם. עם זאת, חשוב לזכור שהתקפות יכולות להתחיל עם יעדים אחרים ולהתפשט. אולי תרצו להרחיב את הרשימה הזו עם הזמן:
    • סופר-אדמינים הם לרוב מטרות לתקיפה בגלל ההרשאות הרחבות שלהם.
    • למשתמשים שעובדים בחיוב או בהפקה יכולות להיות הרשאות רבות, והם עלולים להיות בסיכון.
    • מנהלים בכירים ובעלי תפקידים בכירים אחרים בחברה יכולים להיות מטרה.
    • קבוצות של משתמשים שאולי טירגטו אותם בעבר, או שאפילו היו נתונים להתקפות שממומנות על ידי מדינה, יכולות להיות מטרות. יכול להיות שקיבלתם גם התראות לגבי משתמשים שעשויים להיות פגיעים להתקפות. כדאי לקחת בחשבון את כל הארגון.
  2. לקבץ משתמשים ביחידות ארגוניות.

שלב 2: מזמינים מפתחות אבטחה או מגדירים מפתחות גישה

קבלת מפתחות לכל משתמש

המשתמשים צריכים מפתחות אבטחה או מפתחות גישה כדי להירשם לתוכנית ההגנה המתקדמת. כדי להבטיח גישה לחשבון, צריך גם להגדיר אמצעי גיבוי לשחזור החשבון. המשתמשים צריכים להוסיף כתובת אימייל ומספר טלפון לשחזור החשבון, או מפתח גישה או מפתח אבטחה פיזי לגיבוי, ולשמור אותם במקום בטוח.

פרטים על מפתחות אבטחה זמינים במאמר הזמנת מפתחות אבטחה.

פרטים נוספים על מפתחות גישה זמינים במאמר איך נכנסים לחשבון באמצעות מפתח גישה במקום סיסמה.

שלב 3: קובעים אילו אפליקציות צד שלישי נחשבות אמינות לצורך תוכנית ההגנה המתקדמת

שליטה בגישה לאפליקציות מהימנות

אתם יכולים להגדיר רשימה של אפליקציות מהימנות כדי לציין באילו אפליקציות אתם בוטחים שישמרו על נתוני הארגון שלכם, כולל הנתונים של המשתמשים בתוכנית ההגנה המתקדמת. רשימת האפליקציות המהימנות חלה על כל הארגון. כברירת מחדל, אפליקציות מקוריות של Google, אפליקציות מקוריות של אפל ל-iOS ו-Mozilla Thunderbird נחשבות מהימנות למשתמשים עם הגנה מתקדמת. צריך להוסיף באופן מפורש לרשימת האפליקציות המהימנות את כל האפליקציות האחרות שנדרשות לעסק.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםand thenאמצעי בקרה לממשקי APIואזניהול הגישה של אפליקציות צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. הוראות מפורטות לניהול הגישה של אפליקציות צד שלישי מופיעות במאמר שליטה בגישה של אפליקציות של צד שלישי ואפליקציות פנימיות לנתונים ב-Google Workspace.

שלב 4: הגדרת גישה לאימות דו-שלבי בארגון ברמה העליונה

גישה לאימות דו-שלבי

בתוכנית ההגנה המתקדמת נעשה שימוש באימות דו-שלבי. אתם צריכים לבחור במסוף Google Admin הגדרה שתאפשר למשתמשים להפעיל אימות דו-שלבי. ההגדרה הזו חלה על כל הארגון ברמה העליונה, שיכול לכלול כמה דומיינים.

  1. עוברים אל פריסת אימות דו-שלבי, שלב 2: הגדרת אימות דו-שלבי בסיסי (נדרש).
  2. פועלים לפי השלבים כדי להפעיל אימות דו-שלבי בכל הארגון (כל הדומיינים).

שלב 5: הפעלת רישום משתמשים

הפעלת האפשרות למשתמשים להירשם

כברירת מחדל, המשתמשים יכולים להירשם בעצמם לתוכנית ההגנה המתקדמת. אם צריך, אפשר להשבית את היכולת הזו של המשתמש.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזהתוכנית המתקדמת להגנה.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בוחרים את היחידה הארגונית שמכילה את המשתמשים שרוצים להפעיל עבורם את ההרשמה.
  3. הגדרת ברירת המחדל היא המשתמשים יכולים להירשם לתוכנית. בוחרים אותה אם היא לא נבחרה.
  4. מציינים את סוג קוד האבטחה שהמשתמשים יכולים ליצור. השימוש בקודי אבטחה מפחית את רמת האבטחה, ולכן כדאי לאפשר למשתמשים ליצור קודי אבטחה רק אם הם חייבים להשתמש בהם. אפשר לעיין במדיניות האבטחה במאמר הגנה על משתמשים באמצעות תוכנית ההגנה המתקדמת.

    בוחרים אחת מהאפשרויות הבאות של קודי אבטחה למשתמשים:

    • משתמשים לא יוכלו לייצר קודי אבטחה: המשתמשים לא יכולים ליצור קודי אבטחה. האפשרות הזו מספקת את האבטחה החזקה ביותר. משתמשים באפשרות הזו אם כל המשתמשים משתמשים ב-Google Chrome ויש להם אפליקציות מודרניות.
    • אפשר להשתמש בקודי אבטחה ללא גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה ולהשתמש בהם באותו מכשיר או באותה רשת מקומית (NAT או LAN). זוהי ברירת המחדל. האפשרות הזו מספקת פחות אבטחה מאשר מצב שבו לא מוגדר קוד אבטחה, אבל יותר אבטחה מאשר קודי אבטחה עם גישה מרחוק, שמתואר בהמשך. האפשרות הזו מתאימה ל:
      • אפליקציות ל-iOS
      • מחשבי Mac
      • Internet Explorer
      • Safari
      • אפליקציות מדור קודם למחשב ואפליקציות לנייד שמשתמשות ב-WebViews לאימות במקום ב-Chrome
    • אפשר להשתמש בקודי אבטחה עם גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה ולהשתמש בהם ברשתות או במכשירים אחרים, למשל כשניגשים לשרת מרוחק או למכונה וירטואלית.

פרטים נוספים מופיעים בבלוג של Google Workspace Updates.

שלב 6: מודיעים למשתמשים שזוהו כמשתמשים בסיכון גבוה שהם יכולים להירשם לתוכנית ההגנה המתקדמת

שליחת הודעה למשתמשים כדי שיירשמו

אחרי שמפעילים את ההרשמה לתוכנית ההגנה המתקדמת, המשתמשים יכולים להירשם בעצמם. המשתמשים נכנסים לדף אינטרנט כדי להגדיר מפתחות אבטחה או מפתחות גישה. הם גם מקבלים מידע על שינויים שמתרחשים כשהם מפעילים את ההגנה המתקדמת.

חשוב ליידע את המשתמשים בחברה על התוכניות שלכם, כולל הפרטים האלה:

  • תסביר מהי תוכנית ההגנה המתקדמת ולמה החברה שלך משתמשת בה.
  • מציינים אם ההגנה המתקדמת היא אופציונלית או נדרשת.
  • אם יש צורך, מציינים את התאריך שעד אליו המשתמשים צריכים להירשם בעצמם להגנה המתקדמת.
  • צריך לציין שאחרי ההרשמה, המשתמשים יוצאים מהחשבון בכל המכשירים ומכל האפליקציות של צד שלישי, ושהם צריכים להיכנס לחשבון.
  • מחלקים מפתחות אבטחה למשתמשים או מייעצים להם להגדיר מפתחות גישה במכשירים שלהם.
  • מציינים את הקישור לדף האינטרנט להרשמה עצמית: תוכנית ההגנה המתקדמת.