רשימת משימות אבטחה לעסקים בינוניים וגדולים (100 משתמשים ומעלה)

כדי לחזק את האבטחה והפרטיות של נתוני החברה, אדמינים ב-IT של עסקים בינוניים וגדולים צריכים לפעול לפי השיטות המומלצות הבאות בנושא אבטחה. כדי ליישם כל אחת משיטות העבודה המומלצות ברשימת המשימות הזו, תצטרכו להשתמש בהגדרה אחת או יותר במסוף Google Admin.

אם אין לעסק אדמין ממחלקת IT, יכול להיות שההמלצות שמופיעות ברשימת המשימות בנושא אבטחה לעסקים קטנים (1-100 משתמשים) יתאימו לכם יותר.

הערה: חלק מההגדרות שמתוארות כאן לא זמינות בכל המהדורות של Google Workspace או המהדורות של Cloud Identity.

שיטות מומלצות בנושא אבטחה – הגדרה

כדי להגן על העסק שלכם, חלק גדול מההגדרות שמומלצות ברשימת המשימות הזו מופעלות כברירת מחדל.

חשבונות אדמין

סופר-אדמינים שולטים בגישה לכל הנתונים של העסקים והעובדים בארגון, ולכן חשוב במיוחד להגן על החשבונות שלהם.

רשימה מלאה של ההמלצות מופיעה במאמר בנושא שיטות מומלצות לשמירה על אבטחה בחשבונות של אדמינים.

חשבונות

אכיפת אימות רב-גורמי

דרישה מהמשתמשים להפעיל אימות דו-שלבי

אימות דו-שלבי עוזר להגן על חשבונות משתמשים מפני גישה לא מורשית במקרה שמישהו מצליח להשיג את הסיסמה שלהם.

הגנה על העסק באמצעות אימות דו-שלבי | פריסה של אימות דו-שלבי

לאכוף מפתחות אבטחה – לפחות לאדמינים ולחשבונות אחרים בעלי ערך גבוה

מפתחות אבטחה הם מכשירי חומרה קטנים שמשמשים לכניסה לחשבון, ומספקים אימות דו-שלבי עמיד בפני פישינג.

פריסה של אימות דו-שלבי

הגנה על סיסמאות

למנוע שימוש חוזר בסיסמאות באמצעות Password Alert

אפשר להשתמש ב-Password Alert כדי לוודא שהמשתמשים לא ישתמשו בסיסמאות הארגוניות שלהם באתרים אחרים.

מניעת שימוש חוזר בסיסמאות

שימוש בסיסמאות ייחודיות

סיסמה טובה היא קו ההגנה הראשון על חשבונות של משתמשים ואדמינים. קשה לנחש סיסמאות ייחודיות. כמו כן, צריך למנוע שימוש חוזר באותה הסיסמה בחשבונות שונים, כמו אימייל ובנקאות דיגיטלית.

יצירת סיסמה חזקה ושיפור אבטחת החשבון

מניעת פריצה לחשבונות ותיקון של חשבונות שנפרצו

	בדיקה קבועה של דוחות הפעילות וההתראות חשוב לעיין בדוחות הפעילות לגבי סטטוס החשבון, סטטוס האדמין ופרטי ההרשמה לאימות הדו-שלבי. דוחות לגבי פעילות בחשבון
	הגדרת התראות באימייל לאדמינים צריך להגדיר התראות באימייל לגבי אירועים שעשויים להיות מסוכנים, כמו ניסיונות כניסה חשודים, מכשירים ניידים שנפרצו או שינויים בהגדרות שבוצעו על ידי אדמין אחר. התראות באימייל לאדמינים
	הוספת אימותי זהות למשתמשים צריך להגדיר אימותי זהות למקרה של ניסיון התחברות חשוד. המשתמשים חייבים להזין קוד אימות ש-Google שולחת למספר הטלפון או לכתובת האימייל לשחזור החשבון. לחלופין, הם צריכים לענות על שאלה שרק בעל החשבון יכול להשיב עליה. אימות זהות המשתמש באמצעי אבטחה נוספים \| הוספת מזהה עובד כאימות זהות
	זיהוי ואבטחה של חשבונות שנפרצו אם אתם חושדים שחשבון מסוים נפרץ, צריך להשעות את החשבון, לבדוק אם יש פעילות זדונית ולטפל לפי הצורך. בדיקת המכשירים הניידים שמשויכים לחשבון להשתמש בחיפוש ביומן האימייל (ELS) כדי לבדוק את יומני המסירה של הדומיינים להשתמש בדוח האבטחה כדי להעריך את החשיפה של הדומיין לסיכוני אבטחת מידע. לבדוק אם נוצרו הגדרות זדוניות זיהוי ואבטחה של חשבונות שנפרצו
	השבתת הורדת הנתונים בחשבון Google לפי הצורך אם חשבון מסוים נפרץ או שהמשתמש עוזב את החברה, אפשר, באמצעות Google Takeout, למנוע מהמשתמש להוריד את כל הנתונים שלו בחשבון Google. הפעלה או השבתה של Takeout עבור משתמש
	למנוע גישה לא מורשית אחרי שעובד עזב את הארגון כדי למנוע דליפות נתונים, צריך לבטל את הגישה של המשתמש לנתונים של הארגון כשהוא עוזב. שמירה על אבטחת נתונים אחרי שעובד עוזב את הארגון

אפליקציות (Google Workspace בלבד)

	בדיקת הגישה של אפליקציות צד שלישי לשירותי ליבה צריך לדעת לאילו אפליקציות של צד שלישי יש גישה לשירותי ליבה של Google Workspace כמו Gmail ו-Drive – ולאשר את הגישה שלהן. קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace
	חסימת הגישה לאפליקציות ברמת אבטחה נמוכה באפליקציות ברמת אבטחה נמוכה לא נעשה שימוש בתקני אבטחה מודרניים כמו OAuth, והן מגבירות את הסיכון לפריצה לחשבונות או למכשירים. שליטה בגישה לאפליקציות ברמת אבטחה נמוכה
	יצירת רשימה של אפליקציות מהימנות צריך ליצור רשימת היתרים שמפורטות בה אפליקציות של צד שלישי שיש להן גישה לשירותי הליבה של Google Workspace. קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace
	שליטה בגישה לשירותי הליבה של Google אתם יכולים לאשר או לחסום את הגישה לאפליקציות Google כמו Gmail‏, Drive ויומן לפי כתובת ה-IP, האזור הגיאוגרפי, מדיניות האבטחה או מערכת ההפעלה של המכשיר. לדוגמה, אתם יכולים להתיר את השימוש ב-Drive לשולחן העבודה רק במכשירים שהם בבעלות החברה במדינות או באזורים מסוימים. סקירה כללית בנושא בקרת גישה מבוססת-הקשר
	להוסיף עוד שכבת הצפנה לנתוני האפליקציות של המשתמשים אם הארגון שלכם עובד עם קניין רוחני רגיש או פועל בתעשייה מפוקחת מאוד, תוכלו להוסיף הצפנה מצד הלקוח ל-Gmail, ל-Google Drive, ל-Google Meet וליומן Google. מידע על הצפנה מצד הלקוח

יומן (Google Workspace בלבד)

הגבלת שיתוף היומן עם גורמים מחוץ לארגון

צריך להגביל את שיתוף היומן עם גורמים מחוץ לארגון להצגת סטטוס פנוי/עסוק בלבד. כך אפשר לצמצם את הסיכון לדליפות נתונים.

הגדרת האפשרויות של הרשאות הגישה והשיתוף ביומן

להציג אזהרה למשתמשים כשהם מזמינים אורחים מחוץ לארגון

כברירת מחדל, יומן Google מזהיר את המשתמשים כשהם מזמינים אורחים מחוץ לארגון. כך אפשר לצמצם את הסיכון לדליפות נתונים. צריך לוודא שהאזהרה הזו מופעלת לכל המשתמשים.

אישור הזמנות מגורמים מחוץ לארגון לאירועים ביומן Google

‫Google Chat (רק ב-Google Workspace)

הגבלת רשימת המשתמשים שיכולים לשוחח בצ'אט עם גורמים מחוץ לארגון

צריך לאפשר רק למשתמשים עם צורך ספציפי לשלוח הודעות או ליצור חדרים עם משתמשים מחוץ לארגון. כך משתמשים חיצוניים לא יכולים לראות דיונים פנימיים קודמים, והסיכון לדליפת נתונים מצטמצם.

בקרה על אפשרויות לשימוש ב-Chat ובמרחבי Chat משותפים מחוץ לארגון

הגדרת מדיניות להזמנות לצ'אט

אתם יכולים לקבוע אילו משתמשים יוכלו לאשר אוטומטית הזמנות לצ'אט בהתאם למדיניות של הארגון לגבי שיתוף פעולה.

אישור אוטומטי של הזמנות לצ'אט

דפדפן Chrome ומכשירי ChromeOS

	לעדכן באופן שוטף דפדפני Chrome ו-ChromeOS כדי לוודא שהמשתמשים מקבלים את תיקוני האבטחה העדכניים, צריך לאפשר עדכונים. בדפדפן Chrome, תמיד צריך לאפשר עדכונים. כברירת מחדל, מכשירי ChromeOS מתעדכנים לגרסה העדכנית ביותר של Chrome כשהיא יוצאת. חשוב לוודא שהעדכונים האוטומטיים מופעלים לכל המשתמשים במכשירי ChromeOS. הגדרת מדיניות Chrome למשתמשים או לדפדפנים \| ניהול עדכונים במכשירי ChromeOS
	לאלץ הפעלה מחדש כדי להחיל עדכונים צריך להגדיר את דפדפן Chrome ומכשירי ChromeOS כך שיודיעו למשתמשים שהם צריכים להפעיל מחדש את הדפדפנים או את המכשירים שלהם כדי שהעדכון יחול. אם המשתמש לא מבצע את הפעולה הנדרשת, צריך לאלץ הפעלה מחדש אחרי פרק זמן מוגדר. הודעה למשתמשים לבצע הפעלה מחדש כדי להחיל עדכונים בהמתנה
	הגדרת כללי מדיניות בסיסיים למכשירי ChromeOS ולדפדפני Chrome צריך להגדיר את כללי המדיניות הבאים במסוף Google Admin: אפשר להשתמש במנהל הסיסמאות (מותר כברירת מחדל). הגדרה של 'גלישה בטוחה' למצב תמיד להפעיל. המשתמשים לא יכולים להמשיך לאתרים זדוניים (המשתמשים לא יכולים לעקוף אזהרות של גלישה בטוחה). הגדרת מדיניות Chrome למשתמשים
	הגדרת כללי מדיניות מתקדמים לדפדפני Chrome כדי למנוע גישה לא מורשית, הורדות מסוכנות ודליפות נתונים בין אתרים, צריך להגדיר את כללי המדיניות המתקדמים הבאים: ‫AllowedDomainsForApps – מותרת גישה לשירותים ולכלים של Google בארגון רק לחשבונות מהדומיינים שאתם מציינים. ‫DownloadRestrictions — חסימת הורדות זדוניות. SitePerProcess — צריך להפעיל כדי שכל אתר בדפדפן Chrome יפעל כתהליך נפרד. באמצעות האפשרות הזו, גם אם אתר יעקוף את מדיניות המקור הזהה, האבטחה הנוספת תעזור למנוע מהאתר לגנוב נתוני משתמשים מאתר אחר. הגדרת מדיניות של דפדפן Chrome במחשבים מנוהלים \| מדריך להגדרת אבטחה של דפדפן Chrome לארגון (Windows)
	הגדרת מדיניות של דפדפן Windows במחשב אם בארגון שלכם רוצים להשתמש בדפדפן Chrome, אבל המשתמשים עדיין צריכים לגשת לאפליקציות ולאתרים ישנים שמחייבים שימוש ב-Internet Explorer, תוסף התמיכה בדפדפן Chrome מדור קודם מאפשר למשתמשים לעבור באופן אוטומטי בין Chrome לדפדפן אחר. כדי לתמוך באפליקציות שמחייבות דפדפן מדור קודם, צריך להשתמש בתמיכה בדפדפן מדור קודם. תמיכה בדפדפן מדור קודם ל-Windows

מכשירים ניידים, מחשבים ונקודות קצה אחרות

בעזרת ניהול נקודות קצה ב-Google אפשר להגן על חשבונות משתמשים ועל נתוני העבודה שלהם במכשירים ניידים, בטאבלטים, במחשבים ניידים ובמחשבים.

רשימת ההמלצות המלאה מופיעה ברשימת המשימות לאבטחה של ניהול מכשירים.

Drive

הגבלת השיתוף ושיתוף הפעולה עם גורמים מחוץ לדומיין

	הגדרת אפשרויות או יצירת כללים לשיתוף קבצים עם גורמים מחוץ לארגון אפשר להגביל את שיתוף הקבצים בדומיינים שלכם על ידי השבתת אפשרויות השיתוף או יצירת כללים להרשאות שיתוף (שמאפשרים לכם שליטה מדויקת יותר בשיתוף). כך מפחיתים את הסיכון לדליפת נתונים ולזליגת נתונים. אם נדרש שיתוף מחוץ לארגון בגלל צרכים עסקיים, אפשר להגדיר איך הוא יתבצע עבור היחידות הארגוניות, או להקצות דומיינים ברשימת ההיתרים. הגבלת השיתוף עם גורמים מחוץ לדומיינים המורשים \| הגבלת השיתוף עם גורמים מחוץ לארגון \| יצירת כללים להרשאות שיתוף להגבלת השיתוף עם גורמים מחוץ לארגון
	הצגת אזהרה למשתמשים כשהם משתפים קובץ עם גורם מחוץ לדומיין אם מאפשרים למשתמשים לשתף קבצים עם גורמים מחוץ לדומיין, צריך להפעיל אזהרה שתוצג להם בכל שיתוף חיצוני. כך המשתמשים יכולים לוודא שזו הפעולה שהם התכוונו לבצע, והסיכון לדליפות נתונים יצטמצם. אזהרת משתמשים כשהם משתפים עם גורמים מחוץ לארגון
	איך מונעים ממשתמשים לפרסם באינטרנט צריך להשבית את הפרסום של קבצים באינטרנט. כך אפשר לצמצם את הסיכון לדליפות נתונים. איסור על משתמשים לשתף קבצים באופן גלוי לכולם
	איך מגדירים אפשרויות גישה כלליות לשיתוף קבצים צריך להגדיר את אפשרות הגישה שמוגדרת כברירת מחדל לשיתוף קבצים כמוגבלת. רק לבעלים של הקובץ צריכה להיות גישה, עד שהוא ישתף את הקובץ. אפשר ליצור קבוצות שיתוף (קהלי יעד) בהתאמה אישית למשתמשים במחלקות שונות. הגדרת אפשרויות הגישה לקבצים
	הגבלת הגישה לקבצים לנמענים בלבד כשמשתמש משתף קובץ דרך מוצר Google שהוא לא Docs או Drive (למשל, על ידי הדבקת קישור ב-Gmail), בודק הרשאות הגישה יכול לבדוק אם יש לנמענים גישה לקובץ. צריך להגדיר את בודק הרשאות הגישה לנמענים בלבד. כך אפשר לשלוט בגישה לקישורים שהמשתמשים שלכם משתפים, ולצמצם את הסיכון לדליפות נתונים. בחירת אפשרויות לבודק הרשאות הגישה
	למנוע או להגביל את הסיכון שמשתמשים חיצוניים יוכלו למצוא את החברים בקבוצות של הארגון כדי למנוע ממשתמשים בארגון אחר שמשתמש ב-Google Workspace למצוא את חברי הקבוצות בארגון, צריך לאסור על ארגונים חיצוניים לשתף קבצים עם המשתמשים. לחלופין, כדי להגביל את סוג הסיכון הזה, צריך להתיר שיתוף עם גורמים חיצוניים רק אם מדובר בדומיינים שמופיעים ברשימת ההיתרים. אם משתמשים בהגדרות שיתוף ב-Google Drive:עבור כל יחידה ארגונית שרוצים להגן עליה מהסיכון הזה, צריך לבצע אחת מהפעולות הבאות: כדי למנוע את הסיכון, צריך להשבית את השיתוף עם גורמים מחוץ לארגון ולבטל את הסימון של האפשרות לאפשר למשתמשים לקבל קבצים ממשתמשים חיצוניים. כדי להגביל את הסיכון, צריך לאפשר שיתוף עם גורמים מחוץ לארגון רק אם מדובר בדומיינים שמופיעים ברשימת ההיתרים. מידע נוסף מופיע במאמר ניהול השיתוף עם גורמים מחוץ לארגון. אם משתמשים בכללים להרשאות שיתוף לצורך שיתוף ב-Drive:כדי להגביל את הסיכון הזה, צריך קודם ליצור כלל להרשאות שיתוף עם ההגדרות הבאות: היקף – יחידות ארגוניות או קבוצות שרוצים להגן עליהן מפני הסיכון הזה. טריגר – Drive > קבלת קבצים תנאים – דומיינים ברשימת ההיתרים או ארגונים חיצוניים שאתם סומכים עליהם. פעולה – אישור פרטים נוספים מופיעים במאמר יצירת כלל להרשאות שיתוף. בשלב הבא, משביתים את כלל ברירת המחדל שנקרא [ברירת מחדל] משתמשים בארגון שלי יוכלו לשתף פריטים עם אזהרה ולקבל פריטים מכולם. פרטים נוספים מופיעים במאמר בנושא הצגה או עריכה של פרטים של כללים להרשאות שיתוף.
	דרישה משותפי עריכה מחוץ לארגון להיכנס ל-Google צריך לדרוש משותפי עריכה מחוץ לארגון להיכנס לחשבון Google. אם אין להם חשבון Google, הם יכולים ליצור חשבון חדש ללא עלות. כך אפשר לצמצם את הסיכון לדליפות נתונים. השבתה של הזמנות לחשבונות מחוץ לדומיין שלא שייכים ל-Google
	הגבלת המשתמשים שיכולים להעביר תוכן מתיקיות אחסון שיתופי צריך לאפשר רק למשתמשים בארגון שלכם להעביר קבצים מתיקיות האחסון השיתופי שלהם למיקום ב-Drive בארגון אחר. הגדרת הקבצים שמאוחסנים בתיקיות אחסון שיתופי
	שליטה בשיתוף התוכן בתיקיות אחסון שיתופי חדשות צריך להגביל אילו משתמשים יוכלו ליצור תיקיות אחסון שיתופי, לגשת לתוכן או לשנות את ההגדרות של תיקיות אחסון שיתופי חדשות. שליטה בשיתוף בתיקיות אחסון שיתופי

הגבלת עותקים מקומיים של נתונים ב-Drive

השבתת הגישה למסמכים במצב אופליין

כדי לצמצם את הסיכון לדליפות נתונים, מומלץ להשבית את הגישה למסמכים במצב אופליין. כשמסמכים נגישים במצב אופליין, עותק של המסמך מאוחסן באופן מקומי. אם יש סיבה עסקית להפעיל גישה למסמכים במצב אופליין, כדאי להפעיל את התכונה הזו ברמת היחידה הארגונית כדי למזער את הסיכון.

שליטה בשימוש אופליין בעורכי Docs

השבתת הגישה ל-Drive מהמחשב

המשתמשים יכולים לקבל גישה ל-Drive מהמחשב באמצעות 'Google Drive לשולחן העבודה'. כדי לצמצם את הסיכון לדליפות נתונים, מומלץ להשבית את הגישה ל-Drive מהמחשב. אם תחליטו להפעיל את הגישה דרך המחשב, כדאי להפעיל אותה רק עבור משתמשים עם צורך עסקי מהותי.

השבתת הסנכרון בארגון

שליטה בגישה לנתונים על ידי אפליקציות צד שלישי

לא לאפשר תוספים ל-Google Docs

כדי לצמצם את הסיכון לדליפות נתונים, מומלץ לא לאפשר למשתמשים להתקין תוספים ל-Google Docs מחנות התוספים. כדי לתמוך בצורך עסקי ספציפי, אפשר לפרוס תוספים ספציפיים ל-Google Docs שתואמים למדיניות הארגון.

הפעלת תוספים בעורכי Google Docs

הגנה על מידע אישי רגיש

לחסום שיתוף קבצים עם מידע אישי רגיש או להזהיר לגביהם

כדי לצמצם את הסיכון לדליפות נתונים, צריך להגדיר כללים להגנה מפני אובדן נתונים, כך שיסרקו את הקבצים לאיתור מידע אישי רגיש ויעשו את מה שנדרש כשמשתמשים ינסו לשתף קבצים תואמים עם גורמים מחוץ לארגון. לדוגמה, אפשר לחסום שיתוף עם גורמים מחוץ לארגון של מסמכים שמכילים מספרי דרכון, ולקבל התראה באימייל על כל שיתוף כזה.

שימוש ב-DLP ל-Drive כדי למנוע אובדן נתונים

‫Gmail (ב-Google Workspace בלבד)

הגדרת אימות ותשתיות

	אימות אימיילים באמצעות SPF‏, DKIM ו-DMARC באמצעות SPF‏, DKIM ו-DMARC, אפשר להקים מערכת לאימות אימיילים שמשתמשת בהגדרות DNS לאימות, לחתימה דיגיטלית ולמניעת זיופים בדומיין. לפעמים תוקפים מזייפים את הכתובת 'מאת' בהודעות אימייל, כך שנראה שהן נשלחו ממשתמש בדומיין שלכם. כדי למנוע את זה, אפשר להגדיר SPF ו-DKIM לכל שידורי האימייל היוצאים. אחרי שמגדירים SPF ו-DKIM, אפשר להגדיר רשומת DMARC כדי לקבוע איך Google ונמענים אחרים יטפלו באימיילים לא מאומתים, שנראה כאילו הם הגיעו מהדומיין שלכם. מניעת ספאם, זיוף ופישינג באמצעות אימות של הודעות אימייל ב-Gmail
	הגדרת שערי אימייל נכנס לעבודה עם SPF באמצעות SPF אפשר למנוע שליחה של ההודעות היוצאות שלכם לספאם, אבל שער יכול להשפיע על אופן הפעולה של ה-SPF. אם אתם משתמשים בשער אימייל לניתוב אימייל נכנס, חשוב לוודא שהוא מוגדר כראוי עבור Sender Policy Framework ‏ (SPF). הגדרת שער לדואר נכנס
	אכיפת TLS בדומיינים של שותפים צריך להגדיר את ה-TLS כך שיחייב חיבור מאובטח עבור אימייל אל דומיינים של שותפים (או מהם). קביעת דרישה שהאימייל יישלח דרך חיבור מאובטח (TLS)
	לדרוש אימות של השולח לכל השולחים שאושרו כשיוצרים רשימת כתובות של שולחים מאושרים שיכולים לעקוף את הסיווג כספאם, צריך לדרוש אימות. כשאימות השולח מושבת, Gmail לא יכול לאמת שההודעה נשלחה על ידי מי שנראה ששלח אותה. אימות הזהות מפחית את הסיכון לזיופים ולפישינג או מתקפת Whaling. מידע נוסף על אימות השולח התאמה אישית של הגדרות מסנן הספאם
	הגדרת רשומות MX כדי שהאימיילים יישלחו בצורה נכונה צריך לקבוע שרשומות ה-MX יצביעו על שרתי הדואר של Google כרשומה בעדיפות העליונה, שתבטיח זרימה תקינה של דואר למשתמשים בדומיין שלכם ב-Google Workspace. כך מפחיתים את הסיכון למחיקת נתונים (דרך אימייל שאבד) ולאיומי תוכנות זדוניות. הגדרת רשומות MX ל-Google Workspace Gmail \| ערכים של רשומות MX של Google Workspace

הגנה על משתמשים וארגונים

	השבתת גישת IMAP/POP תוכנות IMAP ו-POP למחשב מאפשרות למשתמשים לגשת ל-Gmail דרך תוכנות אימייל של צד שלישי. צריך להשבית את הגישה ל-POP ול-IMAP לכל המשתמשים שלא צריכים אותן ספציפית. כך מפחיתים את הסיכון לדליפת נתונים, למחיקת נתונים ולזליגת נתונים. כך אפשר גם לצמצם את איום ההתקפות, כי יכול להיות שההגנות של לקוחות IMAP לא דומות להגנות של לקוחות צד ראשון. הפעלה והשבתה של IMAP ו-POP למשתמשים
	השבתה של העברה אוטומטית צריך למנוע מהמשתמשים להעביר באופן אוטומטי דואר נכנס לכתובת אחרת. כך מפחיתים את הסיכון לזליגת נתונים כתוצאה מהעברת אימיילים – שיטה נפוצה בקרב תוקפים. השבתה של העברה אוטומטית
	הפעלה של אחסון כל האימיילים (CRL) אחסון כל האימיילים מבטיח שעותק של כל הדואר שנשלח והתקבל בדומיין שלכם – כולל אימייל שנשלח או התקבל על ידי תיבות דואר שהן לא של Gmail – יאוחסן בתיבות הדואר ב-Gmail של המשתמשים המשויכים. מומלץ להפעיל את ההגדרה הזו כדי לצמצם את הסיכון למחיקת נתונים. אם אתם משתמשים ב-Google Vault, חשוב לוודא שהאימייל נשמר או מוחזק. הגדרה של אחסון כל האימיילים (CRL) \| אחסון כל האימיילים (CRL) ו-Vault
	לא לעקוף סינון ספאם לשולחים פנימיים כדי להפחית את הסיכון לזיופים ולפישינג או מתקפת Whaling, מומלץ להשבית את האפשרות עקיפה של מסנני ספאם כשהשולח הוא משתמש פנימי. כשההגדרה הזו פועלת, היא עלולה לגרום בעיות בקבוצות שיש בהן משתמשים לא מהארגון או שמותר לפרסם בהן פוסטים ציבוריים, כי יכול להיות שהמערכת תחשיב הודעות שפרסמו חברי קבוצה לא מהארגון כהודעות פנימיות. הודעות נכנסות של שולח לא מהארגון שהגדיר quarantine (הסגר) או reject (דחייה) במדיניות DMARC, נכתבות מחדש ונראות כאילו נשלחו מתוך הקבוצה. ההודעות האלה ייחשבו כהודעות פנימיות. התאמה אישית של הגדרות מסנן הספאם
	הוספת הגדרה של כותרות ספאם לכל כללי הניתוב שמוגדרים כברירת מחדל כותרות ספאם עוזרות למקסם את קיבולת הסינון של שרתי אימייל במורד הזרם, ומפחיתות את הסיכון לזיופים ולפישינג או למתקפת Whaling. כשמגדירים כללי ניתוב כברירת מחדל, צריך לסמן את התיבה הוספת כותרות מסוג X-Gm-Spam ו-X-Gm-Phishy כדי ש-Gmail יוסיף אותן להודעה כציון סטטוס הספאם והפישינג שלה. לדוגמה, אדמין בשרת במורד הזרם יכול להשתמש במידע הזה כדי להגדיר כללים לטיפול בספאם ובפישינג באופן שונה מהטיפול באימייל נקי. הגדרת ניתוב כברירת מחדל
	הפעלה של סריקה משופרת של הודעות לפני שהן נשלחות כש-Gmail מזהה שהודעת אימייל עלולה להיות ניסיון פישינג, ההגדרה הזו מאפשרת לו לבצע בדיקות נוספות של ההודעה. שימוש בסריקה משופרת של הודעות לפני שליחתן
	הפעלת אזהרות לגבי נמענים חיצוניים ‫Gmail מזהה אם נמען חיצוני בתגובה לאימייל הוא לא מישהו שמשתמש מקיים איתו אינטראקציה באופן קבוע, או אם הוא לא נמצא באנשי הקשר של המשתמש. כשקובעים את ההגדרה הזו, המשתמשים מקבלים אזהרה ואפשרות לבטל את המענה. הגדרת אזהרה לגבי נמען חיצוני
	הפעלת הגנה נוספת על קבצים מצורפים ‫Google סורקת את ההודעות שנכנסות כדי להגן מפני תוכנות זדוניות, גם אם הגדרות ההגנה הנוספות מפני קבצים מצורפים זדוניים לא מופעלות. הפעלה של הגנה נוספת על הקבצים המצורפים יכולה לקלוט הודעות אימייל שלא זוהו קודם לכן כזדוניות. הפעלת הגנה על קבצים מצורפים
	להפעיל הגנה נוספת על קישורים ותוכן חיצוני Google סורקת את ההודעות שנכנסות כדי להגן מפני תוכנות זדוניות, גם אם ההגדרות הנוספות של ההגנות לא מופעלות על תוכן וקישורים זדוניים. הפעלה של הגנה נוספת על קישורים ותמונות חיצוניות יכולה לקלוט אימיילים שלא זוהו בעבר כניסיון פישינג. הפעלה של הגנה על תמונות וקישורים חיצוניים
	הפעלה של הגנה נוספת מפני זיוף ‫Google סורקת את ההודעות הנכנסות כדי להגן מפני זיוף, גם אם לא הופעלו הגדרות נוספות להגנה מפני זיוף. למשל, הפעלה של אמצעי הגנה נוספים מפני זיופים והפעלת אימות יכולות להפחית את הסיכון לזיופים שמבוססים על שמות דומים של דומיינים או עובדים. הפעלת הגנה מפני זיוף והפעלת אימות

שיקולי אבטחה במשימות היומיות ב-Gmail

להיזהר לפני שמבטלים סינון ספאם

כדי להימנע מעלייה בכמות הספאם, כדאי לחשוב פעמיים לפני שמבטלים את סינון הספאם שמוגדר כברירת מחדל ב-Gmail.

אם אתם מוסיפים דומיין או כתובת אימייל לרשימת השולחים המורשים, צריך לדרוש שיתבצע אימות. אחרת, שולחים שלא אומתו יוכלו לעקוף את סינון הספאם של Gmail.
חשוב להיזהר אם מוסיפים כתובות IP לרשימת ההיתרים של כתובות האימייל, במיוחד אם מוסיפים טווחים גדולים של כתובות IP באמצעות סימון CIDR.
אם מעבירים הודעות לדומיין Google Workspace דרך שער להודעות אימייל נכנסות, צריך להוסיף את כתובות ה-IP של השער להודעות אימייל נכנסות להגדרות של השער, ולא לרשימת ההיתרים לאימייל.
כדי למנוע ספאם ופישינג, צריך לעקוב אחרי כללי התאימות ולבצע בהם את ההתאמות הנדרשות.

התאמה של הגדרות Gmail לארגון

לא לכלול דומיינים ברשימת השולחים שאושרו

אם הגדרתם שולחים מאושרים, ואם סימנתם את האפשרות של עקיפת מסנני ספאם עבור הודעות שהתקבלו מהכתובות או מהדומיין הכלולים ברשימות האלה של שולחים מורשים,צריך להסיר את הדומיינים מרשימת השולחים שאושרו. החרגת דומיינים מרשימת השולחים המורשים מפחיתה את הסיכון לזיופים ולפישינג או מתקפת Whaling.

התאמה אישית של הגדרות מסנן הספאם

לא להוסיף כתובות IP לרשימת ההיתרים

בדרך כלל, אימיילים שנשלחים מכתובות IP שכלולות ברשימת ההיתרים לא מסומנים כספאם. כדי להפיק את המרב משירות סינון הספאם של Gmail וכדי לקבל את התוצאות הטובות ביותר של סיווג הספאם, צריך להוסיף לשער דואר נכנס – ולא לרשימת ההיתרים של כתובות ה-IP – את כתובות ה-IP של שרתי הדואר שלכם ושל השותפים שמעבירים אימיילים ל-Gmail.

הוספת כתובות IP לרשימות היתרים ב-Gmail | הגדרת שער לדואר נכנס

הגנה על מידע אישי רגיש

סריקה וחסימה של הודעות אימייל עם מידע אישי רגיש

כדי לצמצם את הסיכון לדליפות נתונים, צריך לסרוק אימיילים יוצאים בעזרת גלאי הגנה מפני אובדן נתונים, ולנקוט פעולה כשהמשתמשים מקבלים או שולחים הודעות עם תוכן רגיש. לדוגמה, אפשר לחסום את האפשרות של משתמשים לשלוח הודעות שמכילות מספרים של כרטיסי אשראי ולקבל התראה באימייל אם המספרים נשלחים.

סריקת התנועה באימייל באמצעות כללי DLP

קבוצות Google

	שימוש בקבוצות שמיועדות לאבטחה כדי לוודא שרק משתמשים נבחרים יכולים לגשת לאפליקציות ולמשאבים רגישים, צריך לנהל את המשתמשים באמצעות קבוצות אבטחה. כך אפשר לצמצם את הסיכון לדליפות נתונים. גישה מאובטחת יותר לנתונים ולמשאבים
	הוספת תנאי אבטחה לתפקידי האדמין צריך לאפשר רק לאדמינים מסוימים לשלוט בקבוצות אבטחה. את האדמינים אחרים צריך לסווג כאדמינים שיכולים לשלוט רק בקבוצות שלא קשורות לאבטחה. כך מפחיתים את הסיכון לדליפות נתונים ולאיומים זדוניים מבפנים. הקצאה של תפקידי אדמין ספציפיים
	הגדרת גישה פרטית לקבוצות כדי להגביל את הגישה לחברים בדומיין, צריך לבחור בהגדרה 'פרטי'. (חברי הקבוצה עדיין יכולים לקבל אימיילים מחוץ לדומיין). כך אפשר לצמצם את הסיכון לדליפות נתונים. הגדרה של אפשרויות השיתוף של Groups for Business
	להגביל את יצירת הקבוצות לאדמינים בלבד צריך לאפשר יצירת קבוצות לאדמינים בלבד. כך אפשר לצמצם את הסיכון לדליפות נתונים. הגדרה של אפשרויות השיתוף של Groups for Business
	התאמה אישית של הגדרות הגישה של הקבוצה המלצות: כדאי לאשר או להשבית חברים והודעות מחוץ לדומיין. כדאי להגדיר את ניהול ההודעות. כדאי להגדיר את החשיפה של הקבוצות. כדאי לבצע פעולות אחרות, בהתאם למדיניות של החברה. הגדרה של מי יכול לראות, לפרסם ולנהל
	השבתה של חלק מהגדרות הגישה לקבוצות פנימיות ההגדרות הבאות מאפשרות לכל אחד באינטרנט להצטרף לקבוצה, לשלוח הודעות ולצפות בארכיוני הדיונים. עבור קבוצות פנימיות, צריך להשבית את ההגדרות האלה: גישה ציבורית הענקת הגישה הזו גם לכולם באינטרנט אישור גם לכולם באינטרנט לפרסם הודעות הקצאת רמות גישה לקבוצה
	הפעלה של ניהול ספאם בקבוצות אפשר להגדיר הודעות שיישלחו לתור הניהול, עם או בלי להודיע למנהלים, לדחות הודעות ספאם באופן מיידי או לאפשר את פרסום ההודעות בלי פיקוח. אישור או חסימה של פוסטים חדשים

‫Sites (ב-Google Workspace בלבד)

לחסום שיתוף של אתרים מחוץ לדומיין
כדי לצמצם את הסיכון לדליפות נתונים, צריך לא לאפשר למשתמשים לשתף אתרים מחוץ לדומיין. כדי לתמוך בצרכים מהותיים של העסק, אפשר להפעיל את השיתוף עם גורמים מחוץ לדומיין. במקרה כזה, תוצג אזהרה כשמשתמשים משתפים אתרים מחוץ לדומיין.

הגדרת אפשרויות שיתוף ב-Google Sites | הגדרת אפשרויות שיתוף בגרסה הקלאסית של Google Sites

‫Vault (ב-Google Workspace בלבד)

להחשיב חשבונות עם הרשאות Vault כחשבונות רגישים

צריך להגן על חשבונות שהוקצו לתפקידי אדמין ב-Vault באותו האופן שבו מגינים על חשבונות של סופר-אדמינים.

שיטות מומלצות לשמירה על אבטחה בחשבונות של אדמינים

בדיקת הפעילות ב-Vault באופן קבוע

משתמשים עם הרשאות Vault יכולים לחפש ולייצא נתונים של משתמשים אחרים, וגם לשנות את כללי השמירה שעלולים למחוק נתונים שצריך לשמור באופן סופי. צריך לעקוב אחרי הפעילות ב-Vault כדי לוודא שתהיה עמידה במדיניות המאושרת של גישה לנתונים ושמירת נתונים.

ביקורת פעילות המשתמשים ב-Vault

השלבים הבאים – מעקב, חקירה ותיקון שגיאות

בדיקה של הגדרות האבטחה וחקירת הפעילות

מומלץ להיכנס באופן קבוע למרכז האבטחה כדי לבדוק את מצב האבטחה שלכם, לחקור תקריות ועל סמך המידע הזה לנקוט פעולות.

מידע על מרכז האבטחה

בדיקת יומן הביקורת של האדמין

אפשר להשתמש ביומן הביקורת של האדמין כדי לעיין בהיסטוריה של כל משימה שבוצעה במסוף Google Admin, לראות מי האדמין שביצע את המשימה, את התאריך ואת כתובת ה-IP שממנה האדמין נכנס.

יומן ביקורת של אדמין

רשימת משימות אבטחה לעסקים בינוניים וגדולים (100 משתמשים ומעלה) קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.