मीडियम और बड़े कारोबारों (100 से ज़्यादा उपयोगकर्ता) के लिए सिक्योरिटी चेकलिस्ट

मूल सेवाओं के लिए, तीसरे पक्ष के ऐप्लिकेशन के ऐक्सेस की समीक्षा करना

यह जानें और अनुमति दें कि तीसरे पक्ष के किन ऐप्लिकेशन को Gmail और Drive जैसी Google Workspace की मुख्य सेवाओं को ऐक्सेस करने की अनुमति है.

यह कंट्रोल करना कि तीसरे पक्ष और आपके डोमेन के मालिकाना हक वाले किन ऐप्लिकेशन की मदद से Google Workspace के डेटा को ऐक्सेस किया जा सकता है

कम सुरक्षित ऐप्लिकेशन का ऐक्सेस ब्लॉक करना

कम सुरक्षित ऐप्लिकेशन, OAuth जैसे नए सुरक्षा मानकों का इस्तेमाल नहीं करते हैं. इससे खातों या डिवाइसों के हैक होने का खतरा बढ़ जाता है.

कम सुरक्षित ऐप्लिकेशन का ऐक्सेस कंट्रोल करें

भरोसेमंद ऐप्लिकेशन की सूची बनाना

अनुमति वाली एक ऐसी सूची बनाएं जिसमें यह बताया गया हो कि तीसरे पक्ष के कौनसे ऐप्लिकेशन, Google Workspace की मुख्य सेवाओं को ऐक्सेस कर सकते हैं.

यह कंट्रोल करना कि तीसरे पक्ष और आपके डोमेन के मालिकाना हक वाले किन ऐप्लिकेशन की मदद से Google Workspace के डेटा को ऐक्सेस किया जा सकता है

Google की मुख्य सेवाओं के ऐक्सेस को कंट्रोल करना

Gmail, Drive, और Calendar जैसे Google ऐप्लिकेशन के ऐक्सेस की अनुमति देने या ब्लॉक करने के लिए, डिवाइस के आईपी पते, क्षेत्र या देश के नाम, सुरक्षा नीतियों या ओएस के आधार पर फ़ैसले लिए जा सकते हैं. उदाहरण के लिए, कुछ देशों या क्षेत्रों में, कंपनी के मालिकाना हक वाले डिवाइसों पर ही Drive for desktop की सुविधा दी जा सकती है.

कॉन्टेक्स्ट अवेयर ऐक्सेस के बारे में खास जानकारी

उपयोगकर्ताओं के ऐप्लिकेशन डेटा में एन्क्रिप्शन की एक और लेयर जोड़ना

अगर आपका संगठन संवेदनशील बौद्धिक संपत्ति के लिए काम करता है या किसी ऐसे उद्योग में काम करता है जिस पर बहुत ज़्यादा नियम लागू होते हैं, तो Gmail, Google Drive, Google Meet, और Google Calendar में क्लाइंट-साइड एन्क्रिप्शन की सुविधा जोड़ी जा सकती है.

क्लाइंट-साइड एन्क्रिप्शन के बारे में जानकारी

यह कैलेंडर को संगठन से बाहर शेयर करने की सुविधा को सीमित करता है

बाहरी कैलेंडर के शेयर किए जाने को सिर्फ़ खाली/व्यस्त स्थिति बताने तक सीमित करें. इससे डेटा लीक होने का जोखिम कम हो जाता है.

कैलेंडर के दिखने और शेयर करने के विकल्प सेट करना

बाहरी मेहमानों को न्योता भेजने पर, उपयोगकर्ताओं को चेतावनी दें

डिफ़ॉल्ट रूप से, Calendar में बाहरी लोगों को न्योता भेजने पर उपयोगकर्ताओं को चेतावनी मिलती है. इससे डेटा लीक होने का जोखिम कम हो जाता है. पक्का करें कि यह चेतावनी सभी उपयोगकर्ताओं के लिए चालू हो.

Google Calendar इवेंट में, बाहरी लोगों को न्योते भेजने की अनुमति देना

यह तय करना कि कौन बाहरी लोगों से चैट कर सकता है

सिर्फ़ उन उपयोगकर्ताओं को मैसेज भेजने या आपके संगठन से बाहर के उपयोगकर्ताओं के साथ रूम बनाने की अनुमति दें जिन्हें इसकी ज़रूरत है. इससे बाहरी उपयोगकर्ता, पिछली अंदरूनी चर्चाओं को नहीं देख पाते. साथ ही, डेटा लीक होने का जोखिम कम हो जाता है.

संगठन से बाहर के लोगों के साथ चैट करने के लिए, Chat और स्पेस में उपलब्ध विकल्पों को कंट्रोल करना

चैट का न्योता देने से जुड़ी नीति सेट करना

यह तय करें कि आपके संगठन की सहयोग से जुड़ी नीति के आधार पर, कौनसे उपयोगकर्ता चैट के न्योते अपने-आप स्वीकार कर सकते हैं.

चैट के न्योते अपने-आप स्वीकार करने की सुविधा

Chrome ब्राउज़र और ChromeOS को अपडेट रखना

यह पक्का करने के लिए कि आपके उपयोगकर्ताओं के पास सुरक्षा से जुड़े नए पैच हों, अपडेट की अनुमति दें. Chrome ब्राउज़र के लिए, अपडेट की अनुमति हमेशा दें. डिफ़ॉल्ट रूप से, Chrome OS डिवाइसों पर Chrome का नया वर्शन उपलब्ध होने पर, वे अपने-आप अपडेट हो जाते हैं. पक्का करें कि आपके सभी Chrome OS डिवाइस उपयोगकर्ताओं के लिए, अपने-आप अपडेट होने की सुविधा चालू हो.

अपडेट लागू करने के लिए, ऐप्लिकेशन को फिर से लॉन्च करना

Chrome ब्राउज़र और Chrome OS डिवाइसों को सेट करें, ताकि उपयोगकर्ताओं को यह सूचना दी जा सके कि अपडेट लागू करने के लिए, उन्हें अपने ब्राउज़र को फिर से लॉन्च करना होगा या अपने डिवाइसों को रीस्टार्ट करना होगा. साथ ही, अगर उपयोगकर्ता कोई कार्रवाई नहीं करता है, तो तय समय के बाद ब्राउज़र को फिर से लॉन्च करने के लिए मजबूर करें.

Chrome OS डिवाइस और Chrome ब्राउज़र के लिए बुनियादी नीतियां सेट करना

Google Admin console में जाकर, ये नीतियां सेट करें:

• पासवर्ड मैनेजर को अनुमति दें (डिफ़ॉल्ट रूप से अनुमति दी जाती है).
• सुरक्षित ब्राउज़िंग को हमेशा चालू रखें पर सेट करें.
• उपयोगकर्ताओं को नुकसान पहुंचाने वाली साइटों पर जाने से रोकें. उपयोगकर्ताओं को सुरक्षित ब्राउज़िंग की चेतावनियों को बायपास करने की अनुमति न दें.

उपयोगकर्ताओं के लिए Chrome की नीतियां सेट करना

Chrome ब्राउज़र के लिए ऐडवांस नीतियां सेट करना

इन ऐडवांस नीतियों को सेट करके, साइटों के बीच बिना अनुमति के ऐक्सेस, खतरनाक डाउनलोड, और डेटा लीक को रोका जा सकता है:

• AllowedDomainsForApps—इससे, आपके संगठन की Google सेवाओं और टूल का ऐक्सेस सिर्फ़ उन डोमेन के खातों को दिया जा सकता है जिन्हें आपने चुना है.
• DownloadRestrictions—नुकसान पहुंचाने वाले डाउनलोड ब्लॉक करें.
• SitePerProcess—इसे चालू करें, ताकि Chrome ब्राउज़र में हर साइट अलग प्रोसेस के तौर पर चले. इस विकल्प की मदद से, अगर कोई साइट एक ही ऑरिजिन से जुड़ी नीति को बायपास करती है, तो अतिरिक्त सुरक्षा की सुविधा उस साइट को दूसरी वेबसाइट से उपयोगकर्ताओं का डेटा चुराने से रोक पाएगी.

मैनेज किए जा रहे पीसी पर Chrome ब्राउज़र की नीतियां सेट करना | Chrome Browser Enterprise की सुरक्षा से जुड़ी सेटिंग कॉन्फ़िगर करने की गाइड (Windows)

Windows डेस्कटॉप ब्राउज़र के लिए नीति सेट करना

अगर आपका संगठन Chrome ब्राउज़र का इस्तेमाल करना चाहता है, लेकिन आपके उपयोगकर्ताओं को अब भी ऐसी पुरानी वेबसाइटों और ऐप्लिकेशन को ऐक्सेस करना है जिनके लिए Internet Explorer की ज़रूरत होती है, तो Chrome Legacy Browser Support एक्सटेंशन की मदद से, उपयोगकर्ता Chrome और किसी दूसरे ब्राउज़र के बीच अपने-आप स्विच कर सकते हैं. लेगसी ब्राउज़र के लिए सपोर्ट का इस्तेमाल करके, उन ऐप्लिकेशन को सपोर्ट करें जिनके लिए लेगसी ब्राउज़र की ज़रूरत होती है.

Windows के लिए, लेगसी ब्राउज़र के साथ काम करने की सुविधा

अपने संगठन से बाहर फ़ाइलें शेयर करने के लिए विकल्प सेट करना या नियम बनाना

फ़ाइल शेयर करने की सुविधा को अपने डोमेन तक सीमित रखें. इसके लिए, शेयर करने के विकल्पों को बंद करें या ट्रस्ट रूल बनाएं. ट्रस्ट रूल की मदद से, शेयर करने की सुविधा को ज़्यादा सटीक तरीके से कंट्रोल किया जा सकता है. इससे डेटा लीक होने और डेटा बाहर निकाले जाने के जोखिम कम होते हैं. अगर कारोबार की ज़रूरतों के हिसाब से, आपको अपने संगठन के बाहर कॉन्टेंट शेयर करना है, तो संगठन की इकाइयों के लिए यह तय किया जा सकता है कि कॉन्टेंट कैसे शेयर किया जाए. इसके अलावा, अनुमति वाली सूची में डोमेन तय किए जा सकते हैं.

अनुमति वाले डोमेन के बाहर ऐसेट शेयर करने पर पाबंदी लगाना | अपने संगठन के बाहर ऐसेट शेयर करने पर पाबंदी लगाना | बाहरी लोगों के साथ ऐसेट शेयर करने पर पाबंदी लगाने के लिए, ट्रस्ट रूल बनाना

उपयोगकर्ताओं को आपके डोमेन से बाहर फ़ाइल शेयर करने पर चेतावनी दें

अगर उपयोगकर्ताओं को अपने डोमेन के बाहर फ़ाइलें शेयर करने की अनुमति दी जाती है, तो चेतावनी देने की सुविधा चालू करें. इससे, जब भी कोई उपयोगकर्ता ऐसा करेगा, तब उसे चेतावनी दिखाई देगी. इससे उपयोगकर्ताओं को यह पुष्टि करने की अनुमति मिलती है कि यह कार्रवाई लक्षित है या नहीं और इससे डेटा लीक होने का जोखिम कम होता है.

संगठन से बाहर शेयर करने पर उपयोगकर्ताओं को चेतावनी देना

उपयोगकर्ताओं को वेब पर पब्लिश करने से रोकना

वेब पर फ़ाइल पब्लिश करने की सुविधा बंद करें. इससे डेटा लीक होने का जोखिम कम हो जाता है.

उपयोगकर्ताओं को फ़ाइलें सार्वजनिक तौर पर शेयर करने की अनुमति न दें

फ़ाइल शेयर करने के लिए, सामान्य ऐक्सेस के विकल्प सेट करना

फ़ाइल शेयर करने के लिए, ऐक्सेस के डिफ़ॉल्ट विकल्प को प्रतिबंधित पर सेट करें. जब तक फ़ाइल का मालिक उसे शेयर नहीं करता, तब तक सिर्फ़ वही फ़ाइल को ऐक्सेस कर सकता है. इसके अलावा, अलग-अलग डिपार्टमेंट के उपयोगकर्ताओं के लिए, पसंद के मुताबिक शेयरिंग ग्रुप (टारगेट ऑडियंस) बनाएं.

फ़ाइल ऐक्सेस करने के विकल्प सेट करना

सिर्फ़ ईमेल पाने वाले लोगों को फ़ाइल का ऐक्सेस देना

जब कोई उपयोगकर्ता, Docs या Drive के अलावा किसी Google प्रॉडक्ट के ज़रिए (उदाहरण के लिए, Gmail में लिंक चिपकाकर) कोई फ़ाइल शेयर करता है, तो ऐक्सेस की जांच करने वाला टूल यह देख सकता है कि पाने वाले लोगों के पास फ़ाइल का ऐक्सेस है या नहीं. सिर्फ़ पाने वाले लोगों के लिए ऐक्सेस जाँचकर्ता को सेट अप करें. इससे आपको उन लिंक की ऐक्सेस-योग्यता पर नियंत्रण मिलता है जिन्हें आपके उपयोगकर्ताओं ने शेयर किया है और इससे डेटा लीक होने का जोखिम कम हो जाता है.

ऐक्सेस की जांच करने वाले टूल के विकल्प चुनना

बाहरी उपयोगकर्ताओं को आपके संगठन के ग्रुप की सदस्यताओं के बारे में पता चलने के जोखिम को कम करना या रोकना

अगर आपको Google Workspace का इस्तेमाल करने वाले किसी दूसरे संगठन के उपयोगकर्ताओं को, अपने संगठन के ग्रुप की सदस्यताएं देखने से रोकना है, तो बाहरी संगठनों को अपने उपयोगकर्ताओं के साथ फ़ाइलें शेयर करने की अनुमति न दें. इसके अलावा, इस तरह के जोखिम को कम करने के लिए, संगठन से बाहर के सिर्फ़ उन डोमेन के साथ फ़ाइलें शेयर करने की अनुमति दें जिन्हें अनुमति वाली सूची में शामिल किया गया है.

अगर Google Drive की शेयर करने की सेटिंग का इस्तेमाल किया जाता है, तो: संगठन की जिस इकाई को इस जोखिम से बचाना है उसके लिए, इनमें से कोई एक तरीका अपनाएं:

• इस जोखिम को रोकने के लिए, संगठन से बाहर फ़ाइल शेयर करने की सुविधा बंद करें. साथ ही, अपने उपयोगकर्ताओं को बाहरी उपयोगकर्ताओं से फ़ाइलें पाने की अनुमति देने वाले विकल्प से सही का निशान हटाएं.
• इस जोखिम को कम करने के लिए, संगठन से बाहर के सिर्फ़ उन डोमेन के साथ फ़ाइल शेयर करने की अनुमति दें जिन्हें अनुमति वाली सूची में शामिल किया गया है.

ज़्यादा जानकारी के लिए, अपने संगठन के लिए, संगठन से बाहर फ़ाइलें शेयर करने की सुविधा मैनेज करना लेख पढ़ें.

अगर Drive में शेयर करने की सेटिंग के लिए ट्रस्ट रूल का इस्तेमाल किया जाता है, तो: इस जोखिम को कम करने के लिए, सबसे पहले इन सेटिंग के साथ एक ट्रस्ट रूल बनाएं:

• स्कोप—संगठन की वे इकाइयां या ग्रुप जिन्हें आपको इस जोखिम से बचाना है
• ट्रिगर—Drive > फ़ाइलें पाना
• शर्तें—अनुमति वाले डोमेन या ऐसे बाहरी संगठन जिन पर आपको भरोसा है
• कार्रवाई—अनुमति दें

ज़्यादा जानकारी के लिए, ट्रस्ट रूल बनाना लेख पढ़ें.

इसके बाद, डिफ़ॉल्ट नियम को बंद करें. इस नियम का नाम [डिफ़ॉल्ट] मेरे संगठन के उपयोगकर्ता, आपस में Google Drive के आइटम शेयर कर सकते हैं. अगर आइटम शेयर करने के दौरान उन्हें चेतावनी दिखती है, तो वे उसे अनदेखा कर सकते हैं है. ज़्यादा जानकारी के लिए, भरोसे से जुड़े नियम की जानकारी देखना या उसमें बदलाव करना लेख पढ़ें.

बाहरी सहयोगियों के लिए, Google साइन इन की ज़रूरी शर्त

संगठन से बाहर के सहयोगियों के लिए, Google खाते से साइन इन करने की शर्त रखें. अगर उनके पास Google खाता नहीं है, तो वे बिना किसी शुल्क के खाता बना सकते हैं. इससे डेटा लीक होने का जोखिम कम हो जाता है.

अपने डोमेन से बाहर के Google से बाहर के खातों को न्योते भेजने की सुविधा बंद करना

यह तय करना कि शेयर की गई ड्राइव से कॉन्टेंट को कौन-कौन ले जा सकता है

सिर्फ़ अपने संगठन के उपयोगकर्ताओं को, शेयर की गई ड्राइव से फ़ाइलें किसी दूसरे संगठन के Drive खाते में ले जाने की अनुमति दें.

शेयर की गई ड्राइव में सेव की गई फ़ाइलों को कंट्रोल करना

नई शेयर की गई ड्राइव में कॉन्टेंट शेयर करने की सुविधा को कंट्रोल करना

यह तय करें कि कौन शेयर की गई ड्राइव बना सकता है, कॉन्टेंट ऐक्सेस कर सकता है या नई शेयर की गई ड्राइव की सेटिंग बदल सकता है.

शेयर की गई ड्राइव में शेयर करने की सुविधा को कंट्रोल करना

ऑफ़लाइन दस्तावेज़ों का ऐक्सेस बंद करना

डेटा लीक होने का जोखिम कम करने के लिए, ऑफ़लाइन दस्तावेज़ों का ऐक्सेस बंद करें. जब दस्तावेज़ों को ऑफ़लाइन ऐक्सेस किया जा सकता है, तो दस्तावेज़ की एक कॉपी स्थानीय रूप से सेव की जाती है. अगर आपके पास ऑफ़लाइन दस्तावेज़ों का ऐक्सेस सक्षम करने की कोई व्यावसायिक वजह है, तो जोखिम की संभावना को कम करने के लिए इस सुविधा को हर संगठनात्मक इकाई के लिए सक्षम करें.

Docs एडिटर्स को ऑफ़लाइन इस्तेमाल करने की सुविधा को कंट्रोल करना

Drive को डेस्कटॉप पर ऐक्सेस करने की सुविधा बंद करना

उपयोगकर्ता, Google Drive for desktop की मदद से Drive को डेस्कटॉप पर ऐक्सेस कर सकते हैं. डेटा लीक होने का जोखिम कम करने के लिए, Drive के डेस्कटॉप ऐक्सेस को बंद करें. अगर आपको डेस्कटॉप ऐक्सेस चालू करना है, तो इसे सिर्फ़ उन उपयोगकर्ताओं के लिए चालू करें जिन्हें कारोबार से जुड़ी ज़रूरी ज़रूरतें पूरी करनी हैं.

अपने संगठन के लिए सिंक करने की सुविधा बंद करना

Google Docs के ऐड-ऑन को अनुमति न दें

डेटा लीक होने का जोखिम कम करने के लिए, उपयोगकर्ताओं को ऐड-ऑन स्टोर से Google दस्तावेज़ के लिए ऐड-ऑन इंस्टॉल करने की अनुमति न दें. किसी खास व्यावसायिक ज़रूरत की सुविधा देने के लिए, Google Docs के लिए ऐसे खास ऐड-ऑन डिप्लॉय किए जा सकते हैं जो आपकी संगठनात्मक नीति के मुताबिक हों.

Google Docs एडिटिंग टूल में ऐड-ऑन चालू करना

संवेदनशील जानकारी वाली फ़ाइलें शेयर करने पर, चेतावनी देना या शेयर करने से रोकना

डेटा लीक होने के जोखिम को कम करने के लिए, डेटा लीक होने से रोकने से जुड़े नियम सेट अप करें. इससे फ़ाइलों में मौजूद संवेदनशील डेटा को स्कैन किया जा सकेगा. साथ ही, जब उपयोगकर्ता मिलती-जुलती फ़ाइलों को संगठन से बाहर शेयर करने की कोशिश करेंगे, तब कार्रवाई की जा सकेगी. उदाहरण के लिए, पासपोर्ट नंबर वाले दस्तावेज़ों को बाहरी लोगों के साथ शेयर करने की सुविधा को ब्लॉक किया जा सकता है. साथ ही, इसके बारे में ईमेल सूचना पाई जा सकती है.

Drive में डीएलपी का इस्तेमाल करके, डेटा को लीक होने से रोकना

SPF, DKIM, और DMARC की मदद से ईमेल की पुष्टि करना

एसपीएफ़, डीकेआईएम, और डीएमएआरसी, ईमेल की पुष्टि करने वाला एक सिस्टम बनाते हैं. यह सिस्टम, डीएनएस सेटिंग का इस्तेमाल करके आपके डोमेन की पुष्टि करता है, उस पर डिजिटल हस्ताक्षर करता है, और उसे स्पूफ़ होने से बचाता है.

हमलावर कभी-कभी ईमेल मैसेज में "भेजने वाला" पता बदल देते हैं, ताकि ऐसा लगे कि वे आपके डोमेन के किसी उपयोगकर्ता से भेजे गए हैं. ऐसा होने से रोकने के लिए, आउटबाउंड ईमेल की सभी स्ट्रीम पर SPF और DKIM सेट अप किया जा सकता है.

SPF और DKIM सेट अप करने के बाद, DMARC रिकॉर्ड सेट अप किया जा सकता है. इससे यह तय किया जा सकता है कि Google और ईमेल पाने वाले अन्य लोग, आपके डोमेन से भेजे गए ऐसे ईमेल के साथ क्या करें जिनकी पुष्टि नहीं हुई है.

Gmail की पुष्टि करने की सुविधा की मदद से स्पैम, फ़िशिंग, और झूठे नाम से भेजे गए मेल से बचना

एसपीएफ़ के साथ काम करने के लिए, आने वाले ईमेल के लिए गेटवे सेट अप करना

SPF की मदद से, आपके भेजे गए ईमेल को स्पैम फ़ोल्डर में जाने से रोका जा सकता है. हालांकि, गेटवे की वजह से SPF के काम करने के तरीके पर असर पड़ सकता है. अगर इनकमिंग ईमेल को रूट करने के लिए ईमेल गेटवे का इस्तेमाल किया जाता है, तो पक्का करें कि सेंडर पॉलिसी फ़्रेमवर्क (एसपीएफ़) के लिए, इसे सही तरीके से सेट अप किया गया हो.

इनबाउंड मेल गेटवे सेट अप करना

अपने पार्टनर डोमेन के साथ टीएलएस लागू करना

टीएलएस सेटिंग को इस तरह सेट करें कि पार्टनर डोमेन को (या उनसे) ईमेल भेजने के लिए, सुरक्षित कनेक्शन ज़रूरी हो.

मेल को सुरक्षित (TLS) कनेक्शन से भेजने की ज़रूरत है

मंज़ूरी पा चुके सभी ईमेल पतों से आने वाले ईमेल की पुष्टि करना ज़रूरी है

जब स्पैम की पहचान करने वाले फ़िल्टर को बायपास करने के लिए, मंज़ूरी वाले ईमेल पतों की सूची बनाई जाती है, तब पुष्टि करने की ज़रूरत होती है. ईमेल भेजने वाले की पुष्टि करने की सुविधा बंद होने पर, Gmail यह पुष्टि नहीं कर सकता कि ईमेल उसी व्यक्ति ने भेजा है जिसका नाम भेजने वाले के तौर पर दिख रहा है. प्रमाणीकरण की ज़रूरत होने से, स्पूफिंग और फ़िशिंग/व्हेलिंग का जोखिम कम हो जाता है. भेजने वाले की पुष्टि करने के बारे में ज़्यादा जानें.

स्पैम फ़िल्टर की सेटिंग को पसंद के मुताबिक बनाना

ईमेल पाने के लिए MX रिकॉर्ड कॉन्फ़िगर करना

Google Workspace डोमेन के उपयोगकर्ताओं के लिए सही मेल फ़्लो पक्का करने के लिए, MX रिकॉर्ड कॉन्फ़िगर करें. इससे Google के मेल वाले सर्वर सबसे ज़्यादा प्राथमिकता वाले रिकॉर्ड के तौर पर पॉइंट किए जा सकेंगे. इससे डेटा मिटाए जाने (ईमेल गुम होने की वजह से) और मैलवेयर के जोखिम कम होते हैं.

Google Workspace Gmail के लिए MX रिकॉर्ड सेट अप करना | Google Workspace MX रिकॉर्ड की वैल्यू

IMAP/POP ऐक्सेस बंद करना

आईएमएपी और पीओपी डेस्कटॉप क्लाइंट की मदद से, उपयोगकर्ता तीसरे पक्ष के ईमेल क्लाइंट के ज़रिए Gmail को ऐक्सेस कर सकते हैं. उन उपयोगकर्ताओं के लिए POP और IMAP ऐक्सेस बंद करें जिन्हें इसकी ज़रूरत नहीं है. इससे डेटा लीक होने, डेटा मिटाए जाने, और डेटा बाहर निकाले जाने के जोखिम कम हो जाते हैं. इससे हमलों का खतरा भी कम हो सकता है, क्योंकि IMAP क्लाइंट के पास पहले पक्ष के क्लाइंट जैसी सुरक्षा नहीं होती.

उपयोगकर्ताओं के लिए, IMAP और POP को चालू और बंद करना

मैसेज, अपने-आप फ़ॉरवर्ड होने की सुविधा बंद करना

उपयोगकर्ताओं को मिलने वाले ईमेल अपने-आप किसी दूसरे ईमेल पते पर भेजने की सुविधा इस्तेमाल करने से रोकें. इससे ईमेल अग्रेषण के ज़रिए डेटा बाहर निकाले जाने का जोखिम कम हो जाता है. यह एक सामान्य तकनीक है, जिसका इस्तेमाल हमलावर करते हैं.

मैसेज, अपने-आप फ़ॉरवर्ड होने की सुविधा बंद करना

व्‍यापक मेल मेमोरी की सुविधा चालू करना

व्यापक मेल स्टोरेज की सुविधा यह पक्का करती है कि आपके डोमेन में भेजे और पाए गए सभी ईमेल की एक कॉपी, उससे जुड़े उपयोगकर्ताओं के Gmail मेलबॉक्स में सेव हो. इसमें गैर-Gmail मेलबॉक्स से भेजे या पाए गए ईमेल भी शामिल हैं. डेटा मिटने के जोखिम को कम करने के लिए, इस सेटिंग को चालू करें. साथ ही, अगर Google Vault का इस्तेमाल किया जाता है, तो पक्का करें कि ईमेल को सेव करके रखा गया हो या उसे होल्ड किया गया हो

मेल सेव करने के बेहतर स्टोरेज को सेट अप करना | मेल सेव करने का बेहतर स्टोरेज और Vault

संगठन के लोगों को भेजे गए ईमेल के लिए, स्पैम फ़िल्टर बायपास न करें

स्पूफिंग और फ़िशिंग/व्हेलिंग के जोखिम को कम करने के लिए, संगठन के उपयोगकर्ताओं के आपस में भेजे जाने वाले मैसेज के लिए, स्पैम फ़िल्टर बायपास करें सेटिंग को बंद करें.

इस सेटिंग के चालू होने पर, बाहरी सदस्यों वाले ग्रुप या सार्वजनिक तौर पर पोस्ट करने की अनुमतियों वाले ग्रुप के लिए समस्याएं हो सकती हैं. ऐसा इसलिए, क्योंकि ग्रुप के बाहरी सदस्यों के मैसेज को आंतरिक मैसेज के तौर पर माना जा सकता है. अगर बाहरी ईमेल पते से ईमेल भेजने वाले व्यक्ति ने DMARC की नीतियों को क्वॉरंटीन या अस्वीकार करने के लिए सेट किया है, तो आने वाले ईमेल को इस तरह से फिर से लिखा जाता है कि वे ग्रुप से भेजे गए ईमेल की तरह दिखें. इसके बाद, इन ईमेल को संगठन के लोगों को भेजे गए ईमेल माना जाता है.

स्पैम फ़िल्टर की सेटिंग को पसंद के मुताबिक बनाना

सभी डिफ़ॉल्ट रूटिंग नियमों में स्पैम हेडर सेटिंग जोड़ना

स्पैम हेडर की मदद से, डाउनस्ट्रीम ईमेल सर्वर की फ़िल्टर करने की क्षमता को ज़्यादा से ज़्यादा किया जा सकता है. साथ ही, स्पूफिंग और फ़िशिंग/व्हेलिंग के जोखिमों को कम किया जा सकता है. डिफ़ॉल्ट रूटिंग के नियम सेट अप करते समय, X-Gm-Spam और X-Gm-Phishy हेडर जोड़ें बॉक्स पर सही का निशान लगाएं. इससे Gmail, मैसेज के स्पैम और फ़िशिंग स्टेटस के बारे में बताने के लिए इन हेडर को जोड़ देगा.

उदाहरण के लिए, डाउनस्ट्रीम सर्वर का एडमिन इस जानकारी का इस्तेमाल करके ऐसे नियम सेट अप कर सकता है जो स्पैम और फ़िशिंग वाले ईमेल को सामान्य ईमेल से अलग तरीके से हैंडल करते हैं.

डिफ़ॉल्ट रूटिंग कॉन्फ़िगर करना

मैसेज भेजने से पहले की स्कैनिंग की बेहतर सुविधा चालू करें

जब Gmail को पता चलता है कि कोई ईमेल फ़िशिंग वाला हो सकता है, तो यह सेटिंग Gmail को उस ईमेल की ज़्यादा जांच करने की अनुमति देती है.

मैसेज भेजने से पहले की स्कैनिंग को बेहतर बनाने की सुविधा का इस्तेमाल करना

ईमेल पाने वाले बाहरी व्यक्ति से जुड़ी सूचनाएं पाने की सुविधा चालू करें

Gmail यह पता लगाता है कि ईमेल के जवाब में शामिल बाहरी व्यक्ति, ऐसा व्यक्ति तो नहीं है जिससे उपयोगकर्ता नियमित तौर पर बातचीत नहीं करता या जो उपयोगकर्ता की संपर्क सूची में मौजूद नहीं है. इस सेटिंग को कॉन्फ़िगर करने पर, आपके उपयोगकर्ताओं को एक चेतावनी मिलती है. साथ ही, उन्हें इसे खारिज करने का विकल्प भी मिलता है.

ईमेल पाने वाले बाहरी व्यक्ति से जुड़ी सूचना कॉन्फ़िगर करना

अटैचमेंट को सुरक्षित रखने से जुड़ी अतिरिक्त सुविधा चालू करना

Google, आने वाले मैसेज को स्कैन करता है, ताकि आपको मैलवेयर से सुरक्षित रखा जा सके. भले ही, नुकसान पहुंचाने वाले अटैचमेंट से सुरक्षा के लिए अतिरिक्त सेटिंग चालू न की गई हों. अटैचमेंट की सुरक्षा से जुड़ी अतिरिक्त सेटिंग चालू करने पर, ऐसे ईमेल का पता लगाया जा सकता है जिन्हें पहले हानिकारक के तौर पर नहीं पहचाना गया था.

अटैचमेंट को सुरक्षित रखने की सुविधा चालू करना

लिंक और बाहरी कॉन्टेंट को ज़्यादा सुरक्षित रखने की सुविधा चालू करें
Google, आने वाले ईमेल को स्कैन करता है, ताकि आपको मैलवेयर से सुरक्षित रखा जा सके. भले ही, नुकसान पहुंचाने वाले लिंक और कॉन्टेंट को ज़्यादा सुरक्षित रखने की सेटिंग चालू न की गई हों. लिंक और बाहरी इमेज के लिए अतिरिक्त सुरक्षा सेटिंग चालू करने से, ऐसे ईमेल का पता लगाया जा सकता है जिन्हें पहले फ़िशिंग वाला ईमेल नहीं माना गया था.

बाहरी इमेज और लिंक की सुरक्षा चालू करना

स्पूफ़िंग से सुरक्षा की अतिरिक्त सुविधा चालू करना

Google, आने वाले ईमेल को स्कैन करता है, ताकि स्पूफ़िंग से बचा जा सके. भले ही, स्पूफ़िंग से सुरक्षा के लिए अतिरिक्त सेटिंग चालू न की गई हों. झूठे नाम से मेल भेजने और पुष्टि करने से जुड़ी अतिरिक्त सुरक्षा सेटिंग चालू करने से, मिलते-जुलते डोमेन नामों या कर्मचारी के नामों के आधार पर झूठे नाम से मेल भेजने का खतरा कम हो सकता है.

झूठे नाम से मेल भेजने और पुष्टि करने से जुड़ी सुरक्षा की सुविधा चालू करना

स्पैम फ़िल्टर की सेटिंग बदलते समय सावधानी बरतें

स्पैम की संख्या में बढ़ोतरी से बचने के लिए, Gmail के डिफ़ॉल्ट स्पैम फ़िल्टर को बदलते समय सोच-समझकर फ़ैसला लें.

• अगर आपने किसी डोमेन या ईमेल पते को ईमेल भेजने वालों की मंज़ूरी वाली सूची में जोड़ा है, तो पुष्टि करना ज़रूरी है. ऐसा न करने पर, बिना पुष्टि किए ईमेल भेजने वाले लोग, Gmail के स्पैम फ़िल्टर को बायपास कर सकते हैं.
• ईमेल भेजने के लिए अनुमति वाले पतों की सूची में आईपी पते जोड़ते समय सावधानी बरतें. खास तौर पर, सीआईडीआर नोटेशन का इस्तेमाल करके आईपी पतों की बड़ी रेंज जोड़ते समय.
• अगर आपको इनबाउंड गेटवे के ज़रिए, Google Workspace डोमेन पर ईमेल फ़ॉरवर्ड करने हैं, तो इनबाउंड गेटवे की सेटिंग में अपने इनबाउंड गेटवे के आईपी पते जोड़ें. इन्हें ईमेल की अनुमति वाली सूची में न जोड़ें.
• स्पैम और फ़िशिंग को रोकने के लिए, अनुपालन के नियमों की निगरानी करें और उन्हें बेहतर बनाएं.

किसी संगठन के लिए Gmail की सेटिंग को पसंद के मुताबिक बनाना

स्वीकृत ईमेल पतों की सूची में डोमेन शामिल न करें

अगर आपने मंज़ूरी वाले ईमेल पते सेट अप किए हैं और आपने मंज़ूरी वाले ईमेल पतों की इन सूचियों में शामिल ईमेल पतों या डोमेन से मिले मैसेज के लिए, स्पैम फ़िल्टर बायपास करें विकल्प चुना है,तो मंज़ूरी वाले ईमेल पतों की सूची से सभी डोमेन हटाएं. स्वीकृत ईमेल पतों की सूची से डोमेन हटाने पर, स्पूफिंग और फ़िशिंग/व्हेलिंग का जोखिम कम हो जाता है.

स्पैम फ़िल्टर की सेटिंग को पसंद के मुताबिक बनाना

अनुमति वाले लोगों की सूची में आईपी पते न जोड़ें

आम तौर पर, अनुमति वाले ईमेल पतों की सूची में शामिल आईपी पतों से भेजे गए ईमेल को स्पैम के तौर पर मार्क नहीं किया जाता. Gmail की स्पैम फ़िल्टर करने की सेवा का पूरा फ़ायदा पाने और स्पैम को सबसे सही तरीके से कैटगरी में बांटने के लिए, आपके ईमेल सर्वर और पार्टनर के ईमेल सर्वर के आईपी पतों को इनबाउंड मेल गेटवे में जोड़ना चाहिए. साथ ही, उन्हें आईपी की अनुमति वाली सूची में नहीं जोड़ना चाहिए. ये ईमेल सर्वर, Gmail पर ईमेल फ़ॉरवर्ड करते हैं.

Gmail में अनुमति वाले लोगों की सूची में आईपी पते जोड़ना | इनबाउंड मेल गेटवे सेट अप करना

संवेदनशील डेटा वाले ईमेल स्कैन करना और उन्हें ब्लॉक करना

डेटा लीक होने का जोखिम कम करने के लिए, भेजे जाने वाले ईमेल को डेटा लीक होने की रोकथाम (डीएलपी) के लिए पहले से तय किए गए डिटेक्टर से स्कैन करें. इससे, संवेदनशील कॉन्टेंट वाले ईमेल मिलने या भेजे जाने पर कार्रवाई की जा सकेगी. उदाहरण के लिए, क्रेडिट कार्ड नंबर वाले मैसेज भेजने से उपयोगकर्ताओं को ब्लॉक किया जा सकता है. साथ ही, ईमेल से सूचना पाने की सुविधा चालू की जा सकती है.

डीएलपी के नियमों का इस्तेमाल करके, अपने ईमेल ट्रैफ़िक को स्कैन करना

सुरक्षा के लिए डिज़ाइन किए गए ग्रुप का इस्तेमाल करना

सुरक्षा ग्रुप की मदद से, यह पक्का करें कि सिर्फ़ चुने गए उपयोगकर्ता ही संवेदनशील ऐप्लिकेशन और संसाधनों को ऐक्सेस कर सकें. इससे डेटा लीक होने का जोखिम कम हो जाता है.

डेटा और संसाधनों का ज़्यादा सुरक्षित ऐक्सेस देना

एडमिन की भूमिकाओं के लिए सुरक्षा से जुड़ी शर्तें जोड़ना

सिर्फ़ कुछ एडमिन को सुरक्षा ग्रुप कंट्रोल करने की अनुमति दें. ऐसे अन्य एडमिन असाइन करें जो सिर्फ़ नॉन-सिक्योरिटी ग्रुप को कंट्रोल कर सकें. इससे डेटा लीक होने और नुकसान पहुंचाने वाले इनसाइडर रिस्क का जोखिम कम हो जाता है.

एडमिन की भूमिकाएं असाइन करना

अपने ग्रुप के लिए निजी ऐक्सेस सेट अप करना

अपने डोमेन के सदस्यों के लिए ऐक्सेस सीमित करने के लिए, 'निजी' सेटिंग चुनें. (ग्रुप के सदस्यों को अब भी डोमेन के बाहर से ईमेल मिल सकते हैं.) इससे डेटा लीक होने का जोखिम कम हो जाता है.

Groups for Business में शेयर करने के विकल्प सेट करना

ग्रुप बनाने की सुविधा सिर्फ़ एडमिन के लिए उपलब्ध कराना

सिर्फ़ एडमिन को ग्रुप बनाने की अनुमति दें. इससे डेटा लीक होने का जोखिम कम हो जाता है.

Groups for Business में शेयर करने के विकल्प सेट करना

ग्रुप के ऐक्सेस की सेटिंग को पसंद के मुताबिक बनाना

सुझाव:

• अपने डोमेन से बाहर के सदस्यों और मैसेज को अनुमति दें या बंद करें.
• मैसेज मॉडरेशन की सुविधा सेट अप करें.
• यह सेट करना कि ग्रुप किसको दिखाई दे.
• अपनी कंपनी की नीतियों के मुताबिक अन्य कार्रवाइयां करें.

यह सेट करना कि कौन देख सकता है, पोस्ट कर सकता है, और मॉडरेट कर सकता है

इंटरनल ग्रुप के लिए, ऐक्सेस की कुछ सेटिंग बंद करना

नीचे दी गई सेटिंग की मदद से, इंटरनेट पर मौजूद कोई भी व्यक्ति ग्रुप में शामिल हो सकता है, मैसेज भेज सकता है, और चर्चा के संग्रह देख सकता है. इंटरनल ग्रुप के लिए, इन सेटिंग को बंद करें:

• सार्वजनिक ऐक्सेस
• साथ ही इंटरनेट पर सभी को यह ऐक्सेस दें.
• साथ ही, इंटरनेट पर मौजूद किसी भी व्यक्ति को मैसेज पोस्ट करने की अनुमति दें

किसी ग्रुप को ऐक्सेस लेवल असाइन करना

अपने ग्रुप के लिए स्पैम मॉडरेट करने की सुविधा चालू करना

मैसेज को मॉडरेट करने के लिए, मॉडरेटर को सूचना दी जा सकती है या नहीं भी दी जा सकती. इसके अलावा, स्पैम मैसेज को तुरंत अस्वीकार किया जा सकता है या मैसेज को मॉडरेट किए बिना पोस्ट करने की अनुमति दी जा सकती है.

नई पोस्ट को मंज़ूर करना या ब्लॉक करना

डोमेन के बाहर की साइटों को शेयर करने से रोकें
उपयोगकर्ताओं को डोमेन के बाहर की साइटों को शेयर करने से रोकें, ताकि डेटा लीक होने का जोखिम कम हो सके. किसी खास व्यावसायिक ज़रूरत के लिए, डोमेन के बाहर शेयर करने की सुविधा चालू की जा सकती है. ऐसा करने पर, जब उपयोगकर्ता डोमेन से बाहर साइटें शेयर करें, तब उन्हें चेतावनी दिखाएं.

Google Sites के लिए, शेयर करने के विकल्प सेट करना | शेयर करने के विकल्प सेट करना: क्लासिक साइटें

Vault के ऐक्सेस वाले खातों को संवेदनशील के तौर पर मार्क करना

Vault एडमिन की भूमिकाओं को असाइन किए गए खातों को उसी तरह सुरक्षित रखें जिस तरह सुपर एडमिन खातों को सुरक्षित रखा जाता है.

एडमिन खातों की सुरक्षा से जुड़े सबसे सही तरीके

Vault की गतिविधि को नियमित तौर पर ऑडिट करना

Vault के ऐक्सेस वाले लोग, दूसरे लोगों का डेटा खोज सकते हैं और उसे एक्सपोर्ट कर सकते हैं. साथ ही, वे डेटा के रखरखाव के उन नियमों में बदलाव कर सकते हैं जिनसे आपका ज़रूरी डेटा मिट सकता है. Vault में की गई गतिविधि पर नज़र रखें, ताकि यह पक्का किया जा सके कि डेटा के ऐक्सेस और रखरखाव की सिर्फ़ उन नीतियों का पालन किया जा रहा है जिन्हें मंज़ूरी मिली है.

Vault की उपयोगकर्ता गतिविधि ऑडिट करना