ИТ-администраторам средних и крупных предприятий следует следовать этим рекомендациям по обеспечению безопасности, чтобы повысить уровень защиты и конфиденциальности корпоративных данных. Для реализации каждой рекомендации из этого контрольного списка вам потребуется использовать одну или несколько настроек в консоли администратора Google.
Если в вашей компании нет ИТ-администратора, посмотрите, подойдут ли для вашего бизнеса рекомендации из контрольного списка по безопасности для малых предприятий (1–100 пользователей) .
Примечание : Не все описанные здесь настройки доступны во всех версиях Google Workspace или Cloud Identity .
Рекомендации по обеспечению безопасности — Настройка
Для защиты вашего бизнеса многие из настроек, рекомендованных в этом контрольном списке, включены по умолчанию.
Учетные записи администратора
Поскольку суперадминистраторы контролируют доступ ко всем корпоративным и кадровым данным в организации, защита их учетных записей особенно важна.
Полный список рекомендаций см. в разделе «Рекомендации по обеспечению безопасности учетных записей администраторов» .
Счета
Внедрить многофакторную аутентификацию
 | Ввести обязательную двухфакторную аутентификацию для пользователей. Двухфакторная аутентификация помогает защитить учетную запись пользователя от несанкционированного доступа в случае, если кому-то удастся получить доступ к его паролю. Защитите свой бизнес с помощью двухфакторной аутентификации | Внедрите двухфакторную аутентификацию |
| Необходимо обеспечить обязательное использование ключей безопасности, по крайней мере, для администраторов и других важных учетных записей. Ключи безопасности — это небольшие аппаратные устройства, используемые при входе в систему, которые обеспечивают двухфакторную аутентификацию, устойчивую к фишингу. |
Защитите пароли
| Помогите предотвратить повторное использование паролей с помощью функции «Оповещение о паролях». Используйте функцию «Оповещение о паролях», чтобы пользователи не использовали свои корпоративные пароли на других сайтах. |
| Используйте уникальные пароли. Надежный пароль — это первая линия защиты учетных записей пользователей и администраторов. Уникальные пароли сложно угадать. Также не рекомендуется использовать одни и те же пароли для разных учетных записей, например, электронной почты и онлайн-банкинга. |
Помогите предотвратить и устранить последствия взлома учетных записей.
| Регулярно просматривайте отчеты о действиях и оповещения. Просмотрите отчеты об активности, чтобы узнать статус учетной записи, статус администратора и подробности регистрации в системе двухфакторной аутентификации. |
| Настройте оповещения по электронной почте для администратора. Настройте оповещения по электронной почте о потенциально опасных событиях, таких как подозрительные попытки входа в систему, взломанные мобильные устройства или изменения настроек, внесенные другим администратором. |
| Добавить задания на проверку авторизации пользователей. Настройте проверку подлинности при подозрительных попытках входа в систему. Пользователи должны ввести код подтверждения, который Google отправит на их резервный номер телефона или резервный адрес электронной почты, или же ответить на запрос, который может решить только владелец аккаунта. Подтвердите личность пользователя с помощью дополнительных мер безопасности | Добавьте идентификатор сотрудника в качестве запроса на авторизацию |
| Выявление и защита скомпрометированных учетных записей Если вы подозреваете, что учетная запись могла быть взломана, заблокируйте ее, проведите расследование на предмет вредоносной активности и примите необходимые меры.
|
| При необходимости отключите загрузку данных Google. Если учетная запись взломана или пользователь покидает компанию, запретите ему загрузку всех своих данных Google с помощью Google Takeout. Включить или выключить функцию «Еда на вынос» для пользователя |
| Предотвратите несанкционированный доступ после увольнения сотрудника. Чтобы предотвратить утечки данных, отзывайте у пользователя доступ к данным вашей организации при его увольнении. |
Приложения (только Google Workspace)
| Проверьте доступ сторонних приложений к основным сервисам. Узнайте и подтвердите, какие сторонние приложения могут получать доступ к основным сервисам Google Workspace, таким как Gmail и Drive. Контролируйте, какие сторонние и внутренние приложения получают доступ к данным Google Workspace. |
| Заблокируйте доступ к менее защищенным приложениям. Менее защищенные приложения не используют современные стандарты безопасности, такие как OAuth, и повышают риск компрометации учетных записей или устройств. |
| Создайте список доверенных приложений. Создайте список разрешенных приложений, определяющий, какие сторонние приложения могут получать доступ к основным сервисам Google Workspace. Контролируйте, какие сторонние и внутренние приложения получают доступ к данным Google Workspace. |
| Контроль доступа к основным сервисам Google Вы можете разрешить или заблокировать доступ к приложениям Google, таким как Gmail, Drive и Calendar, на основе IP-адреса устройства, географического местоположения, политики безопасности или операционной системы. Например, вы можете разрешить доступ к Drive только для настольных компьютеров на корпоративных устройствах в определенных странах/регионах. |
| Добавьте еще один уровень шифрования к данным приложений пользователей. Если ваша организация работает с конфиденциальной интеллектуальной собственностью или ведет деятельность в строго регулируемой отрасли, вы можете добавить шифрование на стороне клиента в Gmail, Google Drive, Google Meet и Google Calendar. |
Календарь (только в Google Workspace)
| Ограничьте доступ к календарю извне. Ограничьте доступ к внешнему календарю только информацией о занятости/свободном времени. Это снизит риск утечки данных . |
| Предупреждать пользователей при приглашении внешних гостей По умолчанию Календарь предупреждает пользователей при приглашении внешних гостей. Это снижает риск утечки данных . Убедитесь, что это предупреждение включено для всех пользователей. |
Google Чат (только в Google Workspace)
| Ограничьте круг лиц, имеющих доступ к внешнему общению в чате. Разрешите отправлять сообщения или создавать комнаты с пользователями за пределами вашей организации только тем, кому это необходимо. Это предотвратит просмотр предыдущих внутренних обсуждений внешними пользователями и снизит риск утечки данных . Управление параметрами внешнего чата и чата в отдельных помещениях. |
| Настройте политику приглашений в чат. Определите, какие пользователи могут автоматически принимать приглашения в чат в соответствии с политикой вашей организации в отношении совместной работы. |
Браузер Chrome и устройства на базе Chrome OS
| Регулярно обновляйте браузер Chrome и операционную систему Chrome OS. Чтобы ваши пользователи получали последние обновления безопасности, разрешите обновления. Для браузера Chrome всегда разрешайте обновления. По умолчанию устройства Chrome OS обновляются до последней версии Chrome, как только она становится доступна. Убедитесь, что автоматические обновления включены для всех пользователей устройств Chrome OS. Настройка политик Chrome для пользователей или браузеров | Управление обновлениями на устройствах Chrome OS |
| Для применения обновлений принудительно перезапустите систему. Настройте браузер Chrome и устройства Chrome OS таким образом, чтобы они уведомляли пользователей о необходимости перезапустить браузер или перезагрузить устройство для применения обновления, а также принудительно перезапускали браузер через заданное время, если пользователь не предпримет никаких действий. Уведомить пользователей о необходимости перезапустить систему для применения ожидающих обновлений. |
| Настройте основные политики Chrome OS для устройства и браузера Chrome. В консоли администратора Google установите следующие правила:
|
| Настройте расширенные правила браузера Chrome Предотвратите несанкционированный доступ, опасные загрузки и утечки данных между сайтами, установив следующие расширенные политики:
Настройка политик браузера Chrome на управляемых ПК | Руководство по настройке безопасности браузера Chrome Enterprise (Windows) |
| Настройка политики браузера для настольных компьютеров Windows Если ваша организация хочет использовать браузер Chrome, но ваши пользователи по-прежнему должны получать доступ к старым веб-сайтам и приложениям, требующим Internet Explorer, расширение Chrome Legacy Browser Support позволяет пользователям автоматически переключаться между Chrome и другим браузером. Используйте Legacy Browser Support для поддержки приложений, требующих устаревшего браузера. |
Мобильные устройства, компьютеры и другие конечные устройства
С помощью Google Endpoint Management вы можете защитить учетные записи пользователей и их рабочие данные на мобильных устройствах, планшетах, ноутбуках и компьютерах.
Полный список рекомендаций см. в контрольном списке безопасности управления устройствами .
Водить машину
Ограничьте обмен информацией и сотрудничество за пределами вашей области.
| Настройте параметры или создайте правила для обмена файлами за пределами вашей организации. Ограничьте обмен файлами в пределах ваших доменов, отключив параметры общего доступа или создав правила доверия (которые обеспечивают более точный контроль над обменом). Это снижает риски утечки и несанкционированного доступа к данным . Если обмен файлами необходим за пределами вашей организации в связи с бизнес-потребностями, вы можете определить, как осуществляется обмен данными для подразделений организации, или указать домены в списке разрешенных. Ограничьте обмен данными за пределами разрешенных доменов | Ограничьте обмен данными за пределами вашей организации | Создайте правила доверия для ограничения внешнего обмена данными |
| Предупреждайте пользователей, когда они делятся файлом за пределами вашего домена. Если вы разрешаете пользователям обмениваться файлами за пределами вашего домена, включите предупреждение при таком действиях. Это позволит пользователям убедиться, что это действие является запланированным, и снизит риск утечки данных . Предупреждать пользователей при передаче информации за пределы организации |
| Запретить пользователям публиковать контент в интернете. Отключите публикацию файлов в интернете. Это снизит риск утечки данных . |
| Настройте общие параметры доступа для обмена файлами. Установите параметр доступа по умолчанию для общего доступа к файлам на «Ограниченный» . Доступ к файлу должен быть предоставлен только его владельцу до тех пор, пока он не предоставит к нему общий доступ. При желании можно создать пользовательские группы общего доступа (целевые аудитории) для пользователей из разных отделов. |
| Ограничьте доступ к файлам только для получателей. Когда пользователь делится файлом через продукт Google, отличный от Docs или Drive (например, вставляя ссылку в Gmail), Access Checker может проверить, имеют ли получатели доступ к файлу. Настройте Access Checker только для получателей. Это позволит вам контролировать доступность ссылок, которыми делятся ваши пользователи, и снизит риск утечки данных . |
| Предотвратите или ограничьте риск того, что внешние пользователи смогут узнать о членстве вашей организации в группах. Чтобы предотвратить обнаружение пользователями другой организации, использующей Google Workspace, членства вашей организации в группах, не разрешайте внешним организациям обмениваться файлами с вашими пользователями. Или, чтобы ограничить этот тип риска, разрешите внешний обмен файлами только с доменами из списка разрешенных. Если вы используете настройки общего доступа Google Диска: Для каждого подразделения организации, которое вы хотите защитить от этого риска, выполните одно из следующих действий:
Подробную информацию см. в разделе «Управление внешним доступом для вашей организации» . Если вы используете правила доверия для общего доступа к Диску: Чтобы ограничить этот риск, сначала создайте правило доверия со следующими настройками:
Подробности см. в разделе «Создание правила доверия» . Далее деактивируйте правило по умолчанию с именем [Default] Пользователи в моей организации могут делиться информацией с предупреждением и получать сообщения от кого угодно . Подробности см. в разделе «Просмотр или редактирование сведений о правиле доверия» . |
| Требовать авторизацию через Google для внешних сотрудников. Требуйте от внешних сотрудников входа в систему с помощью учетной записи Google. Если у них нет учетной записи Google, они могут создать ее бесплатно. Это снижает риск утечки данных . Отключите приглашения для учетных записей, не относящихся к Google, за пределами вашего домена. |
| Ограничьте круг лиц, имеющих право перемещать контент с общих дисков. Разрешите перемещать файлы с общих дисков на дисковое пространство в другой организации только пользователям вашей организации. |
| Управляйте совместным использованием контента на новых общих дисках. Ограничьте круг лиц, имеющих право создавать общие диски, получать доступ к содержимому или изменять настройки новых общих дисков. |
Ограничьте количество локальных копий данных на Диске.
| Отключить доступ к документам, находящимся в автономном режиме. Чтобы снизить риск утечки данных , рассмотрите возможность отключения доступа к документам в автономном режиме. Когда документы доступны в автономном режиме, их копия хранится локально. Если у вас есть деловая необходимость включить доступ к документам в автономном режиме, включите эту функцию для каждого подразделения организации, чтобы минимизировать риски. Контролируйте использование редакторов документов в автономном режиме. |
| Отключить доступ к Диску с рабочего стола Пользователи могут получить доступ к Google Диску с помощью Google Диска для настольных компьютеров. Чтобы снизить риск утечки данных , рекомендуется отключить доступ к Диску с настольных компьютеров. Если вы решите включить доступ с настольных компьютеров, делайте это только для пользователей, которым это крайне необходимо для работы. |
Контролируйте доступ к вашим данным для сторонних приложений.
| Не разрешайте использование надстроек Google Docs. Чтобы снизить риск утечки данных , рассмотрите возможность запрета пользователям устанавливать дополнения для Google Docs из магазина дополнений. Для удовлетворения конкретных бизнес-потребностей вы можете развертывать специальные дополнения для Google Docs, соответствующие политике вашей организации. |
Защитите конфиденциальные данные
| Блокировать или предупреждать о возможности обмена файлами, содержащими конфиденциальные данные. Чтобы снизить риск утечки данных , настройте правила защиты от потери данных, которые будут сканировать файлы на наличие конфиденциальной информации и принимать меры, когда пользователи пытаются поделиться соответствующими файлами с внешними ресурсами. Например, вы можете заблокировать внешний доступ к документам, содержащим номера паспортов, и получать уведомление по электронной почте. Используйте DLP для Google Диска, чтобы предотвратить потерю данных. |
Gmail (только в Google Workspace)
Настройка аутентификации и инфраструктуры.
| Аутентификация электронной почты с использованием SPF, DKIM и DMARC. SPF, DKIM и DMARC создают систему проверки адресов электронной почты, которая использует настройки DNS для аутентификации, цифровой подписи и предотвращения подделки вашего домена. Злоумышленники иногда подделывают адрес отправителя в электронных письмах, чтобы создать впечатление, будто они пришли от пользователя из вашего домена. Для предотвращения этого можно настроить SPF и DKIM для всех исходящих потоков электронной почты. После настройки SPF и DKIM вы можете создать запись DMARC, чтобы определить, как Google и другие получатели должны обрабатывать неаутентифицированные электронные письма, якобы отправленные с вашего домена. Предотвратите спам, подделку и фишинг с помощью аутентификации Gmail. |
| Настройте шлюзы входящей почты для работы с SPF. SPF помогает предотвратить попадание ваших исходящих сообщений в спам, но шлюз может влиять на работу SPF. Если вы используете почтовый шлюз для маршрутизации входящих писем, убедитесь, что он правильно настроен для Sender Policy Framework (SPF) . |
| Внедрите протокол TLS для доменов ваших партнеров. Установите параметр TLS таким образом, чтобы для отправки (или получения) электронных писем с партнерских доменов требовалось защищенное соединение. |
| Требовать аутентификации отправителя для всех одобренных отправителей. При создании списка адресов авторизованных отправителей, способных обходить классификацию спама, включите аутентификацию. Когда аутентификация отправителя отключена, Gmail не может проверить, действительно ли сообщение отправлено тем человеком, от которого оно, как кажется, пришло. Требование аутентификации снижает риск подделки и фишинга/целевого фишинга . Узнайте больше об аутентификации отправителя . |
| Настройте MX-записи для корректной обработки почты. Настройте записи MX таким образом, чтобы они указывали на почтовые серверы Google с наивысшим приоритетом, обеспечивая корректную доставку почты пользователям вашего домена Google Workspace. Это снижает риск удаления данных (из-за потери писем) и угроз со стороны вредоносного ПО . Настройка MX-записей для Google Workspace Gmail | Значения MX-записей Google Workspace |
Защита пользователей и организаций
| Отключить доступ по протоколам IMAP/POP Настольные клиенты IMAP и POP позволяют пользователям получать доступ к Gmail через сторонние почтовые клиенты. Отключите доступ по протоколам POP и IMAP для тех пользователей, которым этот доступ явно не нужен. Это снизит риски утечки , удаления и несанкционированного доступа к данным . Это также может снизить угрозу атак, поскольку клиенты IMAP могут не иметь аналогичной защиты, как клиенты сторонних разработчиков. |
| Отключить автоматическую пересылку Предотвратите автоматическую пересылку входящей почты на другой адрес. Это снизит риск утечки данных через пересылку электронной почты, что является распространенным методом, используемым злоумышленниками. |
| Обеспечьте комплексное хранение почты Комплексное хранение почты гарантирует, что копия всей отправленной и полученной почты в вашем домене, включая почту, отправленную или полученную из почтовых ящиков, отличных от Gmail, будет храниться в почтовых ящиках Gmail соответствующих пользователей. Включите этот параметр, чтобы снизить риск удаления данных и, если вы используете Google Vault, обеспечить сохранение или блокировку почты. Настройка комплексного хранилища почты | Комплексное хранилище почты и Vault |
| Не обходите спам-фильтры для внутренних отправителей. Чтобы снизить риск подделки и фишинга/крупного фишинга , отключите функцию обхода спам-фильтров для внутренних отправителей . Включение этой настройки может вызвать проблемы для групп с внешними участниками или правами на публичную публикацию, поскольку сообщения от внешних участников группы могут рассматриваться как внутренние. Если внешний отправитель настроил политики DMARC на карантин или отклонение, входящие сообщения переписываются таким образом, как если бы они были отправлены из группы. В этом случае сообщения считаются внутренними. |
| Добавить параметр заголовков защиты от спама ко всем правилам маршрутизации по умолчанию. Заголовки «Спам» помогают максимально эффективно фильтровать почтовые серверы и снижают риски подделки и фишинга . При настройке правил маршрутизации по умолчанию установите флажок «Добавить заголовки X-Gm-Spam и X-Gm-Phishy», чтобы Gmail добавлял эти заголовки, указывающие на статус сообщения как спам или фишинг. Например, администратор на нижестоящем сервере может использовать эту информацию для настройки правил, которые обрабатывают спам и фишинг иначе, чем чистую почту. |
| Включить расширенное сканирование сообщений перед доставкой Когда Gmail определяет, что электронное письмо может быть фишинговым, эта настройка позволяет Gmail выполнять дополнительные проверки сообщения. Используйте расширенное сканирование сообщений перед доставкой. |
| Включить предупреждения для внешних получателей Gmail определяет, если внешний получатель в ответном электронном письме не является тем, с кем пользователь регулярно взаимодействует, или отсутствует в контактах пользователя. При настройке этого параметра ваши пользователи получают предупреждение и возможность его закрыть. |
| Включить дополнительную защиту вложений Google сканирует входящие сообщения для защиты от вредоносных программ, даже если дополнительные настройки защиты от вредоносных вложений не включены. Включение дополнительной защиты от вложений может помочь обнаружить электронные письма, которые ранее не были идентифицированы как вредоносные . |
| Включите дополнительную защиту ссылок и внешнего контента. |
| Включите дополнительную защиту от подмены. Google сканирует входящие сообщения для защиты от подделки, даже если дополнительные настройки защиты от подделки не включены. Включение дополнительной защиты от подделки и аутентификации может, например, снизить риск подделки на основе похожих доменных имен или имен сотрудников. |
Вопросы безопасности при выполнении повседневных задач в Gmail.
| Будьте осторожны при обходе спам-фильтров. Чтобы избежать увеличения количества спама, проявляйте осторожность и внимательность, если вы отключаете стандартные спам-фильтры Gmail.
|
| Не включайте домены в список разрешенных отправителей. Если вы настроили список одобренных отправителей и установили флажок «Обходить спам-фильтры для сообщений, полученных с адресов или доменов из этих списков одобренных отправителей», удалите все домены из этого списка. Исключение доменов из списка одобренных отправителей снижает риск подделки и фишинга/целевого фишинга . |
| Не добавляйте IP-адреса в список разрешенных адресов. Как правило, письма, отправленные с IP-адресов из вашего списка разрешенных адресов, не помечаются как спам. Для полного использования возможностей службы фильтрации спама Gmail и достижения наилучших результатов классификации спама, IP-адреса ваших почтовых серверов и почтовых серверов партнеров, пересылающих электронную почту в Gmail, следует добавлять в шлюз входящей почты, а не в список разрешенных IP-адресов. Добавление IP-адресов в списки разрешенных адресов в Gmail | Настройка шлюза для входящей почты |
Защитите конфиденциальные данные
| Сканируйте и блокируйте электронные письма, содержащие конфиденциальные данные. Чтобы снизить риск утечки данных , сканируйте исходящие электронные письма с помощью предустановленных детекторов защиты от потери данных, чтобы принимать меры, когда пользователи получают или отправляют сообщения, содержащие конфиденциальную информацию. Например, вы можете заблокировать отправку пользователями сообщений, содержащих номера кредитных карт, и получать уведомление по электронной почте. |
Google Группы
| Используйте группы, предназначенные для обеспечения безопасности. Обеспечьте доступ к конфиденциальным приложениям и ресурсам только для избранных пользователей, управляя ими с помощью групп безопасности. Это снизит риск утечки данных . |
| Добавить условия безопасности для ролей администраторов Разрешите управлять группами безопасности только определенным администраторам. Назначьте других администраторов, которые смогут управлять только группами, не связанными с безопасностью. Это снизит риск утечки данных и угроз со стороны злоумышленников . |
| Настройте частный доступ к вашим группам. Выберите параметр «Частный», чтобы ограничить доступ только для членов вашего домена. (Члены группы по-прежнему смогут получать электронные письма извне домена.) Это снижает риск утечки данных . Настройка групп для параметров общего доступа к бизнес-ресурсам |
| Ограничить создание групп только администраторами. Разрешите создавать группы только администраторам. Это снизит риск утечки данных . Настройка групп для параметров общего доступа к бизнес-ресурсам |
| Настройте параметры доступа вашей группы. Рекомендации:
Настройте, кто может просматривать, публиковать и модерировать контент. |
| Отключить некоторые параметры доступа для внутренних групп. Следующие настройки позволяют любому пользователю интернета присоединиться к группе, отправлять сообщения и просматривать архив обсуждений. Отключите эти настройки для внутренних групп:
|
| Включите модерацию спама для ваших групп. Вы можете отправлять сообщения в очередь модерации с уведомлением модераторов или без него, немедленно отклонять спам-сообщения или разрешать публикацию сообщений без модерации. |
Сайты (только Google Workspace)
| Блокировка сайтов обмена файлами за пределами домена. Настройка параметров доступа к сайтам Google | Настройка параметров доступа: классические сайты |
Хранилище (только в Google Workspace)
| Учетные записи с правами доступа к Хранилищу следует рассматривать как конфиденциальные. Защищайте учетные записи, назначенные администраторам хранилища, так же, как и учетные записи суперадминистраторов. Рекомендации по обеспечению безопасности учетных записей администраторов. |
| Регулярно проводите аудит активности в хранилище. Пользователи с правами доступа к Хранилищу могут искать и экспортировать данные других пользователей, а также изменять правила хранения, которые могут удалять данные, которые вам необходимо сохранить. Отслеживайте активность в Хранилище, чтобы убедиться, что доступ к данным и соблюдение правил хранения происходят только в соответствии с утвержденными правилами. |
Следующие шаги — мониторинг, расследование и устранение последствий.
| Проверьте настройки безопасности и изучите информацию о действиях. Регулярно посещайте центр безопасности, чтобы проверять уровень своей безопасности, расследовать инциденты и принимать меры на основе полученной информации. |
| Просмотрите журнал аудита администратора. Используйте журнал аудита администратора, чтобы просмотреть историю всех задач, выполненных в консоли администратора Google, указать, какой администратор выполнил задачу, дату и IP-адрес, с которого администратор вошел в систему. |