چک لیست امنیتی برای کسب و کارهای متوسط ​​و بزرگ (بیش از ۱۰۰ کاربر)

الزام احراز هویت دو مرحله‌ای برای کاربران

تأیید هویت دو مرحله‌ای به محافظت از حساب کاربری در برابر دسترسی غیرمجاز در صورتی که شخصی موفق به دستیابی به رمز عبور شود، کمک می‌کند.

با تأیید هویت دو مرحله‌ای از کسب‌وکارتان محافظت کنید | تأیید هویت دو مرحله‌ای را مستقر کنید

کلیدهای امنیتی را اعمال کنید، حداقل برای مدیران و سایر حساب‌های کاربری با ارزش بالا.

کلیدهای امنیتی دستگاه‌های سخت‌افزاری کوچکی هستند که هنگام ورود به سیستم استفاده می‌شوند و احراز هویت مرحله دوم را ارائه می‌دهند که در برابر فیشینگ مقاوم است.

تأیید هویت دو مرحله‌ای را پیاده‌سازی کنید

با استفاده از هشدار رمز عبور، از استفاده مجدد رمز عبور جلوگیری کنید

از هشدار رمز عبور استفاده کنید تا مطمئن شوید کاربران از رمزهای عبور سازمانی خود در سایت‌های دیگر استفاده نمی‌کنند.

جلوگیری از استفاده مجدد از رمز عبور

از رمزهای عبور منحصر به فرد استفاده کنید

یک رمز عبور خوب، اولین خط دفاعی برای محافظت از حساب‌های کاربری و مدیریتی است. رمزهای عبور منحصر به فرد به راحتی حدس زده نمی‌شوند. همچنین از استفاده مجدد از رمز عبور در حساب‌های مختلف، مانند ایمیل و بانکداری آنلاین، خودداری کنید.

یک رمز عبور قوی و یک حساب کاربری امن‌تر ایجاد کنید

گزارش‌ها و هشدارهای فعالیت را مرتباً بررسی کنید

گزارش‌های فعالیت را برای وضعیت حساب، وضعیت مدیر و جزئیات ثبت‌نام در تأیید هویت دو مرحله‌ای بررسی کنید.

گزارش‌های فعالیت حساب

تنظیم هشدارهای ایمیلی برای مدیر

برای رویدادهای بالقوه خطرناک، مانند تلاش‌های مشکوک برای ورود به سیستم، دستگاه‌های تلفن همراه آلوده یا تغییرات تنظیمات توسط یک مدیر دیگر، هشدارهای ایمیل تنظیم کنید.

هشدارهای ایمیل مدیر

چالش‌های ورود کاربر را اضافه کنید

چالش‌های ورود به سیستم را برای تلاش‌های مشکوک ورود به سیستم تنظیم کنید. کاربران باید کد تأییدی را که گوگل به شماره تلفن بازیابی یا آدرس ایمیل بازیابی آنها ارسال می‌کند، وارد کنند، یا باید به چالشی پاسخ دهند که فقط صاحب حساب می‌تواند آن را حل کند.

تأیید هویت کاربر با امنیت بیشتر | افزودن شناسه کارمند به عنوان یک چالش ورود به سیستم

شناسایی و ایمن‌سازی حساب‌های کاربری هک‌شده

اگر مشکوک هستید که ممکن است حسابی مورد نفوذ قرار گرفته باشد، آن را به حالت تعلیق درآورید، فعالیت‌های مخرب را بررسی کنید و در صورت لزوم اقدامات لازم را انجام دهید.

• بررسی دستگاه‌های تلفن همراه مرتبط با حساب کاربری
• از جستجوی گزارش ایمیل برای بررسی گزارش‌های تحویل دامنه‌های خود استفاده کنید
• از گزارش امنیتی برای ارزیابی میزان مواجهه دامنه با خطرات امنیتی داده‌ها استفاده کنید.
• بررسی کنید که آیا تنظیمات مخربی ایجاد شده است یا خیر

شناسایی و ایمن‌سازی حساب‌های کاربری هک‌شده

در صورت نیاز، دانلود داده‌های گوگل را غیرفعال کنید

اگر حسابی در معرض خطر قرار گرفت یا کاربر شرکت را ترک کرد، با استفاده از Google Takeout از دانلود تمام داده‌های گوگل آن کاربر جلوگیری کنید.

روشن یا خاموش کردن بیرون‌بر برای کاربر

جلوگیری از دسترسی غیرمجاز پس از ترک کار توسط کارمند

برای جلوگیری از نشت داده‌ها، هنگام خروج کاربر از سازمان، دسترسی او به داده‌های سازمان را لغو کنید.

حفظ امنیت داده‌ها پس از ترک کارمند

دسترسی برنامه‌های شخص ثالث به سرویس‌های اصلی را بررسی کنید

بدانید و تأیید کنید که کدام برنامه‌های شخص ثالث می‌توانند به سرویس‌های اصلی Google Workspace مانند Gmail و Drive دسترسی داشته باشند.

کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace

دسترسی به برنامه‌های با امنیت کمتر را مسدود کنید

برنامه‌هایی که امنیت کمتری دارند از استانداردهای امنیتی مدرن مانند OAuth استفاده نمی‌کنند و خطر هک شدن حساب‌ها یا دستگاه‌ها را افزایش می‌دهند.

کنترل دسترسی به برنامه‌های با امنیت کمتر

ایجاد فهرستی از برنامه‌های قابل اعتماد

یک لیست مجوز ایجاد کنید که مشخص کند کدام برنامه‌های شخص ثالث می‌توانند به سرویس‌های اصلی Google Workspace دسترسی داشته باشند.

کنترل دسترسی برنامه‌های شخص ثالث و داخلی به داده‌های Google Workspace

کنترل دسترسی به سرویس‌های اصلی گوگل

شما می‌توانید دسترسی به برنامه‌های گوگل مانند Gmail، Drive و Calendar را بر اساس آدرس IP دستگاه، مبدا جغرافیایی، سیاست‌های امنیتی یا سیستم عامل آن مجاز یا مسدود کنید. به عنوان مثال، می‌توانید Drive را فقط برای دستگاه‌های متعلق به شرکت در کشورها/مناطق خاص، برای دسکتاپ مجاز کنید.

مرور کلی دسترسی آگاه از متن

افزودن یک لایه رمزگذاری دیگر به داده‌های برنامه‌های کاربران

اگر سازمان شما با مالکیت معنوی حساس کار می‌کند یا در صنعتی با مقررات سختگیرانه فعالیت می‌کند، می‌توانید رمزگذاری سمت کلاینت را به Gmail، Google Drive، Google Meet و Google Calendar اضافه کنید.

درباره رمزگذاری سمت کلاینت

محدود کردن اشتراک‌گذاری تقویم خارجی

اشتراک‌گذاری تقویم خارجی را فقط به اطلاعات آزاد/مشغول محدود کنید. این کار خطر نشت داده‌ها را کاهش می‌دهد.

تنظیم گزینه‌های نمایش و اشتراک‌گذاری تقویم

هنگام دعوت از مهمانان خارجی، به کاربران هشدار دهید

به طور پیش‌فرض، تقویم هنگام دعوت از مهمانان خارجی به کاربران هشدار می‌دهد. این کار خطر نشت داده‌ها را کاهش می‌دهد. مطمئن شوید که این هشدار برای همه کاربران فعال است.

دعوت‌های خارجی را در رویدادهای تقویم گوگل مجاز کنید

محدود کردن افرادی که می‌توانند در فضای خارجی چت کنند

فقط به کاربرانی که نیاز خاصی دارند اجازه ارسال پیام یا ایجاد اتاق با کاربران خارج از سازمان خود را بدهید. این کار مانع از مشاهده بحث‌های داخلی قبلی توسط کاربران خارجی می‌شود و خطر نشت داده‌ها را کاهش می‌دهد.

گزینه‌های چت خارجی و فضاهای چت را کنترل کنید

سیاست دعوت به چت را تنظیم کنید

بر اساس سیاست سازمان شما در مورد همکاری، مشخص کنید کدام کاربران می‌توانند به طور خودکار دعوت‌نامه‌های چت را بپذیرند.

پذیرش خودکار دعوتنامه‌های چت

مرورگر کروم و سیستم عامل کروم را به‌روز نگه دارید

برای اطمینان از اینکه کاربران شما آخرین وصله‌های امنیتی را دریافت می‌کنند، اجازه به‌روزرسانی‌ها را بدهید. برای مرورگر کروم، همیشه اجازه به‌روزرسانی‌ها را بدهید. به‌طور پیش‌فرض، دستگاه‌های دارای سیستم عامل کروم، در صورت وجود، به آخرین نسخه کروم به‌روزرسانی می‌شوند. مطمئن شوید که به‌روزرسانی‌های خودکار برای همه کاربران دستگاه‌های دارای سیستم عامل کروم شما فعال است.

برای اعمال به‌روزرسانی‌ها، راه‌اندازی مجدد را اجباری کنید

مرورگر کروم و دستگاه‌های دارای سیستم عامل کروم را طوری تنظیم کنید که به کاربران اطلاع دهند که برای اعمال به‌روزرسانی باید مرورگرهای خود را مجدداً راه‌اندازی کنند یا دستگاه‌های خود را مجدداً راه‌اندازی کنند و اگر کاربر اقدامی نکرد، پس از مدت زمان مشخصی، راه‌اندازی مجدد را اجباری کند.

تنظیم سیاست‌های اولیه دستگاه سیستم عامل کروم و مرورگر کروم

سیاست‌های زیر را در کنسول مدیریت گوگل خود تنظیم کنید:

• مدیر رمز عبور را مجاز کنید (به طور پیش‌فرض مجاز است).
• مرور ایمن را روی همیشه فعال تنظیم کنید.
• از رفتن کاربران به سایت‌های مخرب جلوگیری کنید (به کاربران اجازه ندهید هشدارهای مرور ایمن را دور بزنند.)

تنظیم سیاست‌های کروم برای کاربران

تنظیم سیاست‌های پیشرفته مرورگر کروم

با تنظیم سیاست‌های پیشرفته زیر، از دسترسی غیرمجاز، دانلودهای خطرناک و نشت داده‌ها بین سایت‌ها جلوگیری کنید:

• AllowedDomainsForApps—دسترسی به سرویس‌ها و ابزارهای گوگل سازمان خود را فقط برای حساب‌هایی از دامنه‌هایی که مشخص می‌کنید، مجاز کنید.
• محدودیت‌های دانلود—مسدود کردن دانلودهای مخرب.
• SitePerProcess—فعال کنید تا هر سایت در مرورگر کروم به عنوان یک فرآیند جداگانه اجرا شود. با این گزینه، حتی اگر سایتی از سیاست same-origin عبور کند، امنیت اضافی به جلوگیری از سرقت اطلاعات کاربران از وب‌سایت‌های دیگر توسط سایت کمک می‌کند.

تنظیم سیاست‌های مرورگر کروم روی رایانه‌های شخصی مدیریت‌شده | راهنمای پیکربندی امنیت سازمانی مرورگر کروم (ویندوز)

تنظیم خط‌مشی مرورگر دسکتاپ ویندوز

اگر سازمان شما می‌خواهد از مرورگر کروم استفاده کند اما کاربران شما هنوز نیاز دارند به وب‌سایت‌ها و برنامه‌های قدیمی‌تری که به اینترنت اکسپلورر نیاز دارند دسترسی داشته باشند، افزونه‌ی Chrome Legacy Browser Support به کاربران امکان می‌دهد به‌طور خودکار بین کروم و مرورگر دیگری جابجا شوند. از Legacy Browser Support برای پشتیبانی از برنامه‌هایی که به مرورگر قدیمی نیاز دارند استفاده کنید.

پشتیبانی از مرورگرهای قدیمی برای ویندوز

تنظیم گزینه‌ها یا ایجاد قوانین برای اشتراک‌گذاری فایل‌ها در خارج از سازمان

با غیرفعال کردن گزینه‌های اشتراک‌گذاری یا با ایجاد قوانین اعتماد (که کنترل دقیق‌تری بر اشتراک‌گذاری به شما می‌دهند)، اشتراک‌گذاری فایل را در محدوده دامنه‌های خود محدود کنید. این کار خطرات نشت و خروج داده‌ها را کاهش می‌دهد. اگر به دلیل نیازهای تجاری، اشتراک‌گذاری در خارج از سازمان شما ضروری است، می‌توانید نحوه انجام اشتراک‌گذاری را برای واحدهای سازمانی تعریف کنید، یا می‌توانید دامنه‌هایی را در لیست مجاز خود تعیین کنید.

محدود کردن اشتراک‌گذاری خارج از دامنه‌های مجاز | محدود کردن اشتراک‌گذاری خارج از سازمان شما | ایجاد قوانین اعتماد برای محدود کردن اشتراک‌گذاری خارجی

هشدار به کاربران هنگام اشتراک‌گذاری فایل خارج از دامنه شما

اگر به کاربران اجازه می‌دهید فایل‌هایی را خارج از دامنه شما به اشتراک بگذارند، هنگام انجام این کار توسط کاربر، هشدار را فعال کنید. این به کاربران اجازه می‌دهد تا تأیید کنند که آیا این اقدام مورد نظر است یا خیر و خطر نشت داده‌ها را کاهش می‌دهد.

هنگام اشتراک‌گذاری در فضای باز به کاربران هشدار دهید

جلوگیری از انتشار مطالب توسط کاربران در وب

انتشار فایل در وب را غیرفعال کنید. این کار خطر نشت داده‌ها را کاهش می‌دهد.

به کاربران اجازه ندهید فایل‌ها را به صورت عمومی به اشتراک بگذارند

گزینه‌های دسترسی عمومی را برای اشتراک‌گذاری فایل تنظیم کنید

گزینه دسترسی پیش‌فرض برای اشتراک‌گذاری فایل را روی محدود (Restricted ) تنظیم کنید. فقط مالک فایل باید تا زمانی که فایل را به اشتراک بگذارد، به آن دسترسی داشته باشد. در صورت تمایل، می‌توانید گروه‌های اشتراک‌گذاری سفارشی (مخاطبان هدف) را برای کاربران در بخش‌های مختلف ایجاد کنید.

تنظیم گزینه‌های دسترسی به فایل

محدود کردن دسترسی به فایل فقط برای گیرندگان

وقتی کاربری فایلی را از طریق یکی از محصولات گوگل غیر از Docs یا Drive به اشتراک می‌گذارد (مثلاً با قرار دادن لینک در Gmail)، Access Checker می‌تواند بررسی کند که آیا گیرندگان می‌توانند به فایل دسترسی داشته باشند یا خیر. Access Checker را فقط برای گیرندگان تنظیم کنید. این به شما امکان کنترل دسترسی به لینک‌های به اشتراک گذاشته شده توسط کاربرانتان را می‌دهد و خطر نشت داده‌ها را کاهش می‌دهد.

گزینه‌های بررسی دسترسی را انتخاب کنید

جلوگیری یا محدود کردن خطر کشف عضویت‌های گروهی سازمان شما توسط کاربران خارجی

برای جلوگیری از اینکه کاربران سازمان دیگری که از Google Workspace استفاده می‌کنند، عضویت‌های گروهی سازمان شما را کشف کنند، به سازمان‌های خارجی اجازه ندهید فایل‌ها را با کاربران شما به اشتراک بگذارند. یا برای محدود کردن این نوع خطر، اشتراک‌گذاری خارجی را فقط با دامنه‌های مجاز مجاز کنید.

اگر از تنظیمات اشتراک‌گذاری گوگل درایو استفاده می‌کنید: برای هر واحد سازمانی که می‌خواهید از این خطر محافظت کنید، یکی از موارد زیر را انجام دهید:

• برای جلوگیری از این خطر، اشتراک‌گذاری خارجی را غیرفعال کنید و تیک گزینه‌ی اجازه دادن به کاربران برای دریافت فایل از کاربران خارجی را بردارید.
• برای محدود کردن این خطر، اشتراک‌گذاری خارجی را فقط با دامنه‌های مجاز فهرست‌شده مجاز کنید.

برای جزئیات بیشتر، به مدیریت اشتراک‌گذاری خارجی برای سازمان خود مراجعه کنید.

اگر از قوانین اعتماد برای اشتراک‌گذاری درایو استفاده می‌کنید: برای محدود کردن این ریسک، ابتدا یک قانون اعتماد با تنظیمات زیر ایجاد کنید:

• محدوده - واحدها یا گروه‌های سازمانی که می‌خواهید از این ریسک محافظت کنید
• تریگر — درایو > دریافت فایل‌ها
• شرایط — دامنه‌های مجاز یا سازمان‌های خارجی مورد اعتماد شما در فهرست
• اقدام - اجازه دادن

برای جزئیات بیشتر، به ایجاد یک قانون اعتماد مراجعه کنید.

در مرحله بعد، قانون پیش‌فرض با نام [Default] را غیرفعال کنید. کاربران در سازمان من می‌توانند با یک هشدار به اشتراک بگذارند و از هر کسی دریافت کنند . برای جزئیات بیشتر، به مشاهده یا ویرایش جزئیات قانون اعتماد مراجعه کنید.

الزام ورود به سیستم گوگل برای همکاران خارجی

همکاران خارجی را ملزم به ورود به سیستم با حساب گوگل کنید. اگر حساب گوگل ندارند، می‌توانند بدون هیچ هزینه‌ای یکی ایجاد کنند. این کار خطر نشت داده‌ها را کاهش می‌دهد.

دعوت‌نامه‌ها به حساب‌های غیرگوگل خارج از دامنه خود را غیرفعال کنید

محدود کردن افرادی که می‌توانند محتوا را از درایوهای مشترک منتقل کنند

فقط به کاربران سازمان خود اجازه دهید فایل‌ها را از درایوهای مشترک خود به مکانی در درایو در سازمان دیگری منتقل کنند.

کنترل فایل‌های ذخیره شده در درایوهای اشتراکی

کنترل اشتراک‌گذاری محتوا در درایوهای اشتراکی جدید

محدود کردن افرادی که می‌توانند درایوهای مشترک ایجاد کنند، به محتوا دسترسی داشته باشند یا تنظیمات درایوهای مشترک جدید را تغییر دهند.

کنترل اشتراک‌گذاری در درایوهای مشترک

دسترسی به اسناد آفلاین را غیرفعال کنید

برای کاهش خطر نشت داده‌ها ، غیرفعال کردن دسترسی به اسناد آفلاین را در نظر بگیرید. وقتی اسناد به صورت آفلاین قابل دسترسی هستند، یک کپی از سند به صورت محلی ذخیره می‌شود. اگر دلیل کاری برای فعال کردن دسترسی به اسناد آفلاین دارید، این ویژگی را برای هر واحد سازمانی فعال کنید تا خطر به حداقل برسد.

کنترل استفاده آفلاین از ویرایشگرهای اسناد

دسترسی دسکتاپ به درایو را غیرفعال کنید

کاربران می‌توانند با استفاده از گوگل درایو دسکتاپ، به درایو از طریق دسکتاپ دسترسی داشته باشند. برای کاهش خطر نشت اطلاعات ، غیرفعال کردن دسترسی دسکتاپ به درایو را در نظر بگیرید. اگر تصمیم به فعال کردن دسترسی دسکتاپ دارید، آن را فقط برای کاربرانی که نیاز تجاری حیاتی دارند، فعال کنید.

همگام‌سازی را برای سازمان خود غیرفعال کنید

افزونه‌های Google Docs را مجاز نکنید

برای کاهش خطر نشت داده‌ها ، به کاربران اجازه ندهید افزونه‌هایی را برای Google Docs از فروشگاه افزونه‌ها نصب کنند. برای پشتیبانی از یک نیاز خاص تجاری، می‌توانید افزونه‌های خاصی را برای Google Docs که با سیاست‌های سازمانی شما همسو هستند، پیاده‌سازی کنید.

افزونه‌ها را در ویرایشگرهای Google Docs فعال کنید

مسدود کردن یا هشدار دادن در مورد اشتراک‌گذاری فایل‌ها با داده‌های حساس

برای کاهش خطر نشت داده‌ها ، قوانین محافظت در برابر از دست دادن داده‌ها را تنظیم کنید تا فایل‌ها را برای یافتن داده‌های حساس اسکن کند و هنگامی که کاربران سعی می‌کنند فایل‌های منطبق را به صورت خارجی به اشتراک بگذارند، اقدامات لازم را انجام دهد. به عنوان مثال، می‌توانید اشتراک‌گذاری خارجی اسنادی که حاوی شماره گذرنامه هستند را مسدود کنید و یک هشدار ایمیل دریافت کنید.

استفاده از DLP برای درایو برای جلوگیری از از دست رفتن داده‌ها

احراز هویت ایمیل با SPF، DKIM و DMARC

SPF، DKIM و DMARC یک سیستم اعتبارسنجی ایمیل ایجاد می‌کنند که از تنظیمات DNS برای تأیید اعتبار، امضای دیجیتالی و جلوگیری از جعل دامنه شما استفاده می‌کند.

مهاجمان گاهی اوقات آدرس "From" را در پیام‌های ایمیل جعل می‌کنند تا به نظر برسد که از طرف کاربری در دامنه شما ارسال شده است. برای جلوگیری از این امر، می‌توانید SPF و DKIM را در تمام جریان‌های ایمیل خروجی تنظیم کنید.

پس از فعال‌سازی SPF و DKIM، می‌توانید یک رکورد DMARC تنظیم کنید تا نحوه برخورد گوگل و سایر دریافت‌کنندگان با ایمیل‌های احراز هویت نشده‌ای که ظاهراً از دامنه شما ارسال می‌شوند را تعریف کنید.

جلوگیری از هرزنامه، کلاهبرداری و فیشینگ با احراز هویت جیمیل

تنظیم دروازه‌های ایمیل ورودی برای کار با SPF

SPF به جلوگیری از ارسال پیام‌های خروجی شما به هرزنامه کمک می‌کند، اما یک دروازه می‌تواند بر نحوه عملکرد SPF تأثیر بگذارد. اگر از یک دروازه ایمیل برای هدایت ایمیل‌های دریافتی استفاده می‌کنید، مطمئن شوید که برای چارچوب سیاست فرستنده (SPF) به درستی تنظیم شده است.

یک دروازه ایمیل ورودی تنظیم کنید

TLS را با دامنه‌های شریک خود اعمال کنید

تنظیمات TLS را طوری تنظیم کنید که برای ایمیل به (یا از) دامنه‌های شریک، اتصال امن الزامی باشد.

الزام ارسال ایمیل از طریق اتصال امن (TLS)

الزام احراز هویت فرستنده برای همه فرستندگان تأیید شده

وقتی فهرستی از آدرس‌های فرستندگان تأییدشده‌ای ایجاد می‌کنید که می‌توانند از طبقه‌بندی هرزنامه عبور کنند، احراز هویت الزامی می‌شود. وقتی احراز هویت فرستنده غیرفعال باشد، جیمیل نمی‌تواند تأیید کند که پیام توسط شخصی که به نظر می‌رسد از طرف اوست ارسال شده است. الزام احراز هویت، خطر جعل و فیشینگ/والینگ را کاهش می‌دهد. درباره احراز هویت فرستنده بیشتر بدانید.

تنظیمات فیلتر هرزنامه را سفارشی کنید

پیکربندی رکوردهای MX برای جریان صحیح ایمیل

رکوردهای MX را طوری پیکربندی کنید که به سرورهای ایمیل گوگل به عنوان رکورد با بالاترین اولویت اشاره کنند تا جریان صحیح ایمیل به کاربران دامنه Google Workspace شما تضمین شود. این کار خطر حذف داده‌ها (از طریق از دست دادن ایمیل) و تهدیدات بدافزار را کاهش می‌دهد.

تنظیم رکوردهای MX برای Gmail در Google Workspace | مقادیر رکوردهای MX در Google Workspace

دسترسی IMAP/POP را غیرفعال کنید

کلاینت‌های دسکتاپ IMAP و POP به کاربران اجازه می‌دهند از طریق کلاینت‌های ایمیل شخص ثالث به جیمیل دسترسی داشته باشند. دسترسی POP و IMAP را برای کاربرانی که صراحتاً به این دسترسی نیاز ندارند، غیرفعال کنید. این کار خطرات نشت داده‌ها ، حذف داده‌ها و استخراج داده‌ها را کاهش می‌دهد. همچنین می‌تواند خطر حملات را کاهش دهد زیرا کلاینت‌های IMAP ممکن است محافظت‌های مشابهی با کلاینت‌های شخص ثالث نداشته باشند.

فعال و غیرفعال کردن IMAP و POP برای کاربران

غیرفعال کردن فوروارد خودکار

جلوگیری از ارسال خودکار ایمیل‌های دریافتی به آدرس دیگر توسط کاربران. این کار خطر نشت اطلاعات از طریق ارسال ایمیل را که یک تکنیک رایج توسط مهاجمان است، کاهش می‌دهد.

غیرفعال کردن فوروارد خودکار

فعال کردن فضای ذخیره‌سازی جامع ایمیل

ذخیره‌سازی جامع ایمیل تضمین می‌کند که یک کپی از تمام ایمیل‌های ارسالی و دریافتی در دامنه شما - از جمله ایمیل‌های ارسالی یا دریافتی توسط صندوق‌های پستی غیر Gmail - در صندوق‌های پستی Gmail کاربران مرتبط ذخیره شود. این تنظیم را فعال کنید تا خطر حذف داده‌ها کاهش یابد و در صورت استفاده از Google Vault، از حفظ یا نگهداری ایمیل‌ها اطمینان حاصل شود.

راه‌اندازی فضای ذخیره‌سازی جامع ایمیل | فضای ذخیره‌سازی جامع ایمیل و Vault

فیلترهای اسپم را برای فرستندگان داخلی دور نزنید

برای کاهش خطر جعل ایمیل و فیشینگ/والینگ ، فیلترهای عبور از هرزنامه را برای فرستندگان داخلی غیرفعال کنید.

وقتی این تنظیم فعال باشد، می‌تواند برای گروه‌هایی که اعضای خارجی یا مجوزهای ارسال عمومی دارند، مشکل ایجاد کند، زیرا پیام‌های اعضای گروه خارجی ممکن است به عنوان پیام‌های داخلی در نظر گرفته شوند. اگر فرستنده خارجی سیاست‌های DMARC را روی قرنطینه یا رد تنظیم کرده باشد، پیام‌های ورودی طوری بازنویسی می‌شوند که انگار از طرف گروه ارسال شده‌اند. در این صورت، پیام‌ها داخلی در نظر گرفته می‌شوند.

تنظیمات فیلتر هرزنامه را سفارشی کنید

تنظیمات هدرهای هرزنامه را به همه قوانین مسیریابی پیش‌فرض اضافه کنید

هدرهای اسپم به حداکثر رساندن ظرفیت فیلترینگ سرورهای ایمیل پایین‌دستی و کاهش خطرات جعل و فیشینگ/والینگ کمک می‌کنند. هنگام تنظیم قوانین مسیریابی پیش‌فرض، کادر افزودن هدرهای X-Gm-Spam و X-Gm-Phishy را علامت بزنید تا Gmail این هدرها را برای نشان دادن وضعیت اسپم و فیشینگ پیام اضافه کند.

برای مثال، یک مدیر در یک سرور پایین‌دستی می‌تواند از این اطلاعات برای تنظیم قوانینی استفاده کند که هرزنامه و فیشینگ را متفاوت از ایمیل‌های سالم مدیریت می‌کند.

پیکربندی مسیریابی پیش‌فرض

اسکن پیشرفته پیام قبل از تحویل را فعال کنید

وقتی جیمیل تشخیص می‌دهد که یک پیام ایمیل ممکن است فیشینگ باشد، این تنظیم به جیمیل امکان می‌دهد بررسی‌های بیشتری روی پیام انجام دهد.

از اسکن پیشرفته پیام قبل از ارسال استفاده کنید

فعال کردن هشدارهای گیرنده خارجی

اگر گیرنده خارجی در پاسخ ایمیل، کسی نباشد که کاربر مرتباً با او تعامل دارد یا در مخاطبین کاربر حضور نداشته باشد، جیمیل تشخیص می‌دهد. وقتی این تنظیم را پیکربندی می‌کنید، کاربران شما یک هشدار و گزینه‌ای برای رد کردن دریافت می‌کنند.

پیکربندی هشدار گیرنده خارجی

فعال کردن محافظت بیشتر از پیوست‌ها

گوگل پیام‌های دریافتی را برای محافظت در برابر بدافزار اسکن می‌کند، حتی اگر تنظیمات محافظت در برابر پیوست‌های مخرب اضافی فعال نشده باشند. فعال کردن محافظت در برابر پیوست‌های اضافی می‌تواند ایمیل‌هایی را که قبلاً به عنوان مخرب شناسایی نشده بودند، شناسایی کند.

محافظت از پیوست را روشن کنید

فعال کردن محافظت بیشتر از لینک‌ها و محتوای خارجی
گوگل پیام‌های دریافتی را برای محافظت در برابر بدافزار اسکن می‌کند، حتی اگر تنظیمات محافظت از لینک‌های مخرب و محتوای اضافی فعال نشده باشند. فعال کردن محافظت از لینک‌های اضافی و تصاویر خارجی می‌تواند ایمیل‌هایی را که قبلاً به عنوان فیشینگ شناسایی نشده بودند، شناسایی کند.

فعال کردن محافظت از تصاویر و لینک‌های خارجی

محافظت اضافی در برابر جعل را فعال کنید

گوگل پیام‌های دریافتی را برای محافظت در برابر جعل ایمیل اسکن می‌کند، حتی اگر تنظیمات اضافی محافظت در برابر جعل ایمیل فعال نشده باشد. فعال کردن محافظت اضافی در برابر جعل ایمیل و احراز هویت می‌تواند، به عنوان مثال، خطر جعل ایمیل را بر اساس نام دامنه یا نام کارمند مشابه کاهش دهد.

محافظت در برابر جعل هویت و احراز هویت را فعال کنید

هنگام لغو فیلترهای اسپم مراقب باشید

برای جلوگیری از افزایش هرزنامه، هنگام لغو فیلترهای پیش‌فرض هرزنامه جیمیل، با دقت و توجه عمل کنید.

• اگر دامنه یا آدرس ایمیلی را به فهرست فرستندگان تأیید شده اضافه کنید، احراز هویت الزامی می‌شود. در غیر این صورت، فرستندگانی که احراز هویت ندارند می‌توانند فیلترهای اسپم جیمیل را دور بزنند.
• در صورت اضافه کردن آدرس‌های IP به لیست مجاز ایمیل ، به خصوص اگر طیف وسیعی از آدرس‌های IP را از طریق نمادگذاری CIDR اضافه می‌کنید، احتیاط کنید.
• اگر پیام‌ها را از طریق یک دروازه ورودی به دامنه Google Workspace خود بازارسال می‌کنید، آدرس‌های IP دروازه ورودی خود را به تنظیمات دروازه ورودی اضافه کنید و نه به فهرست مجاز ایمیل .
• نظارت و تنظیم قوانین انطباق برای جلوگیری از هرزنامه و فیشینگ.

تنظیمات جیمیل را برای یک سازمان تنظیم کنید

دامنه‌ها را در فهرست فرستندگان تأییدشده قرار ندهید

اگر فرستندگان تأیید شده را تنظیم کرده‌اید، و اگر گزینه‌ی «عبور از فیلترهای هرزنامه» را برای پیام‌های دریافتی از آدرس‌ها یا دامنه‌های موجود در این فهرست‌های فرستندگان تأیید شده تیک زده‌اید، هر دامنه‌ای را از فهرست فرستندگان تأیید شده خود حذف کنید. حذف دامنه‌ها از فهرست فرستندگان تأیید شده، خطر جعل و فیشینگ/والینگ را کاهش می‌دهد.

تنظیمات فیلتر هرزنامه را سفارشی کنید

آدرس‌های IP را به لیست مجاز خود اضافه نکنید

به‌طورکلی، ایمیل‌های ارسالی از آدرس‌های IP موجود در فهرست مجاز شما به‌عنوان هرزنامه علامت‌گذاری نمی‌شوند. برای بهره‌مندی کامل از سرویس فیلتر هرزنامه Gmail و بهترین نتایج طبقه‌بندی هرزنامه، آدرس‌های IP سرورهای ایمیل شما و سرورهای ایمیل شریک که ایمیل‌ها را به Gmail ارسال می‌کنند، باید به یک دروازه ایمیل ورودی (Inbound mail gateway) اضافه شوند، نه به یک فهرست مجاز IP.

افزودن آدرس‌های IP برای مجاز کردن فهرست‌ها در Gmail | تنظیم دروازه ایمیل ورودی

اسکن و مسدود کردن ایمیل‌های حاوی اطلاعات حساس

برای کاهش خطر نشت داده‌ها ، ایمیل‌های خروجی را با آشکارسازهای از پیش تعریف‌شده‌ی محافظت در برابر از دست دادن داده‌ها اسکن کنید تا در صورت دریافت یا ارسال پیام‌های حاوی محتوای حساس توسط کاربران، اقدامات لازم انجام شود. به عنوان مثال، می‌توانید ارسال پیام‌های حاوی شماره کارت اعتباری توسط کاربران را مسدود کرده و یک هشدار ایمیلی دریافت کنید.

ترافیک ایمیل خود را با استفاده از قوانین DLP اسکن کنید

از گروه‌هایی که برای امنیت طراحی شده‌اند استفاده کنید

با مدیریت برنامه‌ها و منابع حساس توسط گروه‌های امنیتی، اطمینان حاصل کنید که فقط کاربران منتخب می‌توانند به آنها دسترسی داشته باشند. این کار خطر نشت داده‌ها را کاهش می‌دهد.

دسترسی امن‌تر به داده‌ها و منابع را فراهم کنید

اضافه کردن شرایط امنیتی به نقش‌های مدیریتی

فقط به مدیران خاصی اجازه دهید گروه‌های امنیتی را کنترل کنند. مدیران دیگری را تعیین کنید که فقط بتوانند گروه‌های غیرامنیتی را کنترل کنند. این کار خطر نشت داده‌ها و تهدیدات داخلی مخرب را کاهش می‌دهد.

نقش‌های مدیریتی خاص را اختصاص دهید

دسترسی خصوصی به گروه‌هایتان را تنظیم کنید

برای محدود کردن دسترسی اعضای دامنه خود، تنظیمات خصوصی (Private) را انتخاب کنید. (اعضای گروه همچنان می‌توانند از خارج از دامنه ایمیل دریافت کنند.) این کار خطر نشت داده‌ها را کاهش می‌دهد.

گزینه‌های اشتراک‌گذاری گروه‌ها برای کسب‌وکار را تنظیم کنید

ایجاد گروه را به مدیران محدود کنید

فقط به مدیران اجازه ایجاد گروه بدهید. این کار خطر نشت داده‌ها را کاهش می‌دهد.

گزینه‌های اشتراک‌گذاری گروه‌ها برای کسب‌وکار را تنظیم کنید

تنظیمات دسترسی گروه را سفارشی کنید

توصیه‌ها:

• اعضا و پیام‌های خارج از دامنه خود را مجاز یا غیرفعال کنید.
• مدیریت پیام‌ها را تنظیم کنید.
• تنظیم میزان دیده شدن گروه‌ها
• طبق سیاست‌های شرکت خود، اقدامات دیگری را انجام دهید.

تنظیم کنید چه کسی می‌تواند پست‌ها را ببیند، مدیریت کند و ...

غیرفعال کردن برخی از تنظیمات دسترسی برای گروه‌های داخلی

تنظیمات زیر به هر کسی که در اینترنت است اجازه می‌دهد به گروه بپیوندد، پیام ارسال کند و بایگانی بحث‌ها را مشاهده کند. این تنظیمات را برای گروه‌های داخلی غیرفعال کنید:

• دسترسی عمومی
• همچنین این دسترسی را به هر کسی در اینترنت بدهید
• همچنین به هر کسی در اینترنت اجازه دهید پیام ارسال کند

تعیین سطح دسترسی برای یک گروه

مدیریت هرزنامه را برای گروه‌های خود فعال کنید

شما می‌توانید پیام‌ها را با یا بدون اطلاع مدیران به صف بررسی ارسال کنید، پیام‌های اسپم را فوراً رد کنید یا اجازه دهید پیام‌ها بدون بررسی ارسال شوند.

تأیید یا مسدود کردن پست‌های جدید

مسدود کردن سایت‌های اشتراک‌گذاری خارج از دامنه
برای کاهش خطر نشت داده‌ها ، کاربران را از اشتراک‌گذاری سایت‌های خارج از دامنه منع کنید. برای پشتیبانی از یک نیاز حیاتی کسب‌وکار، می‌توانید اشتراک‌گذاری خارج از دامنه را فعال کنید. در این صورت، هنگام اشتراک‌گذاری سایت‌ها توسط کاربران خارج از دامنه، هشداری نمایش داده می‌شود.

تنظیم گزینه‌های اشتراک‌گذاری سایت‌های گوگل | تنظیم گزینه‌های اشتراک‌گذاری: سایت‌های کلاسیک

حساب‌های کاربری با دسترسی‌های Vault را حساس در نظر بگیرید

از حساب‌های کاربری که به نقش‌های مدیر Vault اختصاص داده شده‌اند، به همان روشی که از حساب‌های کاربری مدیر ارشد محافظت می‌کنید، محافظت کنید.

بهترین شیوه‌های امنیتی برای حساب‌های کاربری ادمین

فعالیت‌های مربوط به Vault را مرتباً بررسی کنید

کاربرانی که دارای امتیازات Vault هستند می‌توانند داده‌های سایر کاربران را جستجو و صادر کنند، و همچنین قوانین نگهداری را تغییر دهند که می‌تواند داده‌هایی را که باید نگه دارید پاک کند. فعالیت Vault را رصد کنید تا اطمینان حاصل شود که فقط سیاست‌های دسترسی و نگهداری داده‌های تأیید شده اعمال می‌شود.

فعالیت کاربر در Audit Vault