IT-administratörer för medelstora och stora företag bör följa dessa säkerhetstips för att stärka säkerheten och integriteten för företagsdata. Du kommer att använda en eller flera inställningar i Googles administratörskonsol för att implementera varje metod i den här checklistan.
Om ditt företag inte har en IT-administratör, se om rekommendationerna i säkerhetschecklistan för småföretag (1–100 användare) är mer lämpliga för ditt företag.
Obs ! Alla inställningar som beskrivs här är inte tillgängliga i alla Google Workspace- eller Cloud Identity-utgåvor .
Bästa säkerhetstips – Installation
För att skydda ditt företag är många av de inställningar som rekommenderas i den här checklistan aktiverade som standard.
Administratörskonton
Eftersom superadministratörer kontrollerar åtkomst till all affärs- och medarbetardata i organisationen är det särskilt viktigt att deras konton är skyddade.
För en komplett lista med rekommendationer, gå till Bästa säkerhetstips för administratörskonton .
Konton
Tillämpa multifaktorautentisering
| Kräv tvåstegsverifiering för användare Tvåstegsverifiering hjälper till att skydda ett användarkonto från obehörig åtkomst om någon lyckas få tag på deras lösenord. Skydda ditt företag med tvåstegsverifiering | Implementera tvåstegsverifiering |
| Tillämpa säkerhetsnycklar, åtminstone för administratörer och andra värdefulla konton Säkerhetsnycklar är små hårdvaruenheter som används vid inloggning och som tillhandahåller andrafaktorsautentisering som motverkar nätfiske. |
Skydda lösenord
| Förhindra återanvändning av lösenord med Lösenordsavisering Använd lösenordsavisering för att se till att användare inte använder sina företagslösenord på andra webbplatser. |
| Använd unika lösenord Ett bra lösenord är den första försvarslinjen för att skydda användar- och administratörskonton. Unika lösenord är inte lätta att gissa. Avråd även från att återanvända lösenord mellan olika konton, till exempel e-post och internetbank. |
Hjälp till att förebygga och åtgärda komprometterade konton
| Granska regelbundet aktivitetsrapporter och varningar Granska aktivitetsrapporter för kontostatus, administratörsstatus och registreringsinformation för tvåstegsverifiering. |
| Konfigurera e-postaviseringar för administratörer Ställ in e-postaviseringar för potentiellt riskfyllda händelser, till exempel misstänkta inloggningsförsök, komprometterade mobila enheter eller inställningsändringar av en annan administratör. |
| Lägg till utmaningar för användarinloggning Konfigurera inloggningsutmaningar för misstänkta inloggningsförsök. Användare måste ange en verifieringskod som Google skickar till deras återställningstelefonnummer eller återställnings-e-postadress, eller så måste de svara på en utmaning som bara kontoinnehavaren kan lösa. Verifiera en användares identitet med extra säkerhet | Lägg till anställnings-ID som en inloggningsutmaning |
| Identifiera och säkra komprometterade konton Om du misstänker att ett konto kan ha blivit komprometterat, stäng av kontot, undersök om det finns skadlig aktivitet och vidta åtgärder om det behövs.
|
| Stäng av nedladdning av Google-data vid behov Om ett konto komprometteras eller om användaren lämnar företaget, förhindra att användaren laddar ner all sin Google-data med Google Takeout. |
| Förhindra obehörig åtkomst efter att en anställd slutat För att förhindra dataläckor, återkalla en användares åtkomst till organisationens data när de lämnar. |
Appar (endast Google Workspace)
| Granska åtkomst till kärntjänster för tredjepartsappar Känna till och godkänna vilka tredjepartsappar som har åtkomst till Google Workspaces kärntjänster, till exempel Gmail och Drive. Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data |
| Blockera åtkomst till mindre säkra appar Mindre säkra appar använder inte moderna säkerhetsstandarder, som OAuth, och ökar risken för att konton eller enheter komprometteras. |
| Skapa en lista över betrodda appar Skapa en tillåtelselista som anger vilka tredjepartsappar som har åtkomst till Google Workspaces kärntjänster. Styr vilka tredjepartsappar och interna appar som har åtkomst till Google Workspace-data |
| Kontrollera åtkomst till Googles kärntjänster Du kan tillåta eller blockera åtkomst till Google-appar som Gmail, Drive och Kalender baserat på en enhets IP-adress, geografiska ursprung, säkerhetspolicyer eller operativsystem. Du kan till exempel tillåta Drive för datorer endast på företagsägda enheter i specifika länder/regioner. |
| Lägg till ytterligare ett krypteringslager för användarnas appdata Om din organisation arbetar med känsliga immateriella rättigheter eller är verksam inom en hårt reglerad bransch kan du lägga till klientsideskryptering i Gmail, Google Drive, Google Meet och Google Kalender. |
Kalender (endast Google Workspace)
| Begränsa extern kalenderdelning Begränsa extern kalenderdelning till endast ledig/upptagen-information. Detta minskar risken för dataläckor . |
| Varna användare när de bjuder in externa gäster Som standard varnar Kalender användare när de bjuder in externa gäster. Detta minskar risken för dataläckor . Se till att den här varningen är aktiverad för alla användare. |
Google Chat (endast Google Workspace)
| Begränsa vem som kan chatta externt Tillåt endast användare med ett specifikt behov att skicka meddelanden eller skapa rum med användare utanför din organisation. Detta förhindrar att externa användare ser tidigare interna diskussioner och minskar risken för dataläckor . |
| Ställ in en policy för chattinbjudningar Bestäm vilka användare som automatiskt kan acceptera chattinbjudningar baserat på din organisations policy för samarbete. |
Chrome-webbläsaren och Chrome OS-enheter
| Håll Chrome-webbläsaren och Chrome OS uppdaterade För att säkerställa att dina användare har de senaste säkerhetsuppdateringarna, tillåt uppdateringar. Tillåt alltid uppdateringar för webbläsaren Chrome. Som standard uppdateras Chrome OS-enheter till den senaste versionen av Chrome när den är tillgänglig. Se till att automatiska uppdateringar är aktiverade för alla användare av dina Chrome OS-enheter. Ställ in Chrome-policyer för användare eller webbläsare | Hantera uppdateringar på Chrome OS-enheter |
| Tvinga fram en omstart för att tillämpa uppdateringar Ställ in Chrome-webbläsaren och Chrome OS-enheter så att de meddelar användare att de måste starta om sina webbläsare eller enheter för att uppdateringen ska tillämpas, och tvinga fram en omstart efter en viss tid om användaren inte vidtar några åtgärder. Meddela användarna att de ska starta om för att tillämpa väntande uppdateringar |
| Ställ in grundläggande policyer för Chrome OS-enheter och webbläsare i Chrome Ställ in följande policyer i Googles administratörskonsol:
|
| Ställ in avancerade webbläsarpolicyer för Chrome Förhindra obehörig åtkomst, farliga nedladdningar och dataläckor mellan webbplatser genom att ställa in följande avancerade policyer:
Ställ in Chrome-webbläsarpolicyer på hanterade datorer | Konfigurationsguide för Chrome-webbläsarens företagssäkerhet (Windows) |
| Ställ in en webbläsarpolicy för Windows-skrivbordet Om din organisation vill använda Chrome-webbläsaren men dina användare fortfarande behöver komma åt äldre webbplatser och appar som kräver Internet Explorer, låter Chrome Legacy Browser Support-tillägget användare växla automatiskt mellan Chrome och en annan webbläsare. Använd Legacy Browser Support för att stödja applikationer som kräver en äldre webbläsare. |
Mobila enheter, datorer och andra slutpunkter
Du kan skydda användarkonton och deras arbetsdata på mobila enheter, surfplattor, bärbara datorer och datorer med Googles slutpunktshantering.
För en komplett lista med rekommendationer, gå till säkerhetschecklistan för enhetshantering .
Köra
Begränsa delning och samarbete utanför din domän
| Ange alternativ eller skapa regler för fildelning utanför din organisation Begränsa fildelning inom gränserna för dina domäner genom att stänga av delningsalternativ eller genom att skapa förtroenderegler (vilket ger dig mer exakt kontroll över delning). Detta minskar riskerna för dataläckor och dataexfiltrering . Om delning krävs utanför din organisation på grund av affärsbehov kan du definiera hur delning görs för organisationsenheter, eller så kan du ange domäner på din tillåtelselista. Begränsa delning utanför tillåtna domäner | Begränsa delning utanför din organisation | Skapa förtroenderegler för att begränsa extern delning |
| Varna användare när de delar en fil utanför din domän Om du tillåter användare att dela filer utanför din domän, aktivera en varning när en användare gör det. Detta gör det möjligt för användare att bekräfta om åtgärden är avsedd och minskar risken för dataläckor . |
| Förhindra användare från att publicera på webben Inaktivera filpublicering på webben. Detta minskar risken för dataläckor . |
| Ange allmänna åtkomstalternativ för fildelning Ställ in standardåtkomstalternativet för fildelning till Begränsad . Endast filägaren ska ha åtkomst tills de delar filen. Du kan också skapa anpassade delningsgrupper (målgrupper) för användare på olika avdelningar. |
| Begränsa filåtkomst endast till mottagare När en användare delar en fil via en annan Google-produkt än Dokument eller Drive (till exempel genom att klistra in en länk i Gmail) kan Access Checker kontrollera att mottagarna har åtkomst till filen. Konfigurera Access Checker endast för mottagare. Detta ger dig kontroll över åtkomsten till länkar som delas av dina användare och minskar risken för dataläckor . |
| Förhindra eller begränsa risken för att externa användare kan upptäcka din organisations gruppmedlemskap För att förhindra att användare i en annan organisation som använder Google Workspace upptäcker din organisations gruppmedlemskap, tillåt inte externa organisationer att dela filer med dina användare. Eller, för att begränsa den här typen av risk, tillåt extern delning endast med domäner som finns på tillåtelselistan. Om du använder delningsinställningar för Google Drive: Gör något av följande för varje organisationsenhet som du vill skydda mot den här risken:
Mer information finns i Hantera extern delning för din organisation . Om du använder förtroenderegler för Drive-delning: För att begränsa risken, skapa först en förtroenderegel med följande inställningar:
Mer information finns i Skapa en förtroenderegel . Inaktivera sedan standardregeln [Standard] Användare i min organisation kan dela med en varning och ta emot från vem som helst . Mer information finns i Visa eller redigera information om förtroenderegler . |
| Kräv Google-inloggning för externa samarbetspartners Kräv att externa samarbetspartners loggar in med ett Google-konto. Om de inte har ett Google-konto kan de skapa ett utan kostnad. Detta minskar risken för dataläckor . Stäng av inbjudningar till konton utanför Google utanför din domän |
| Begränsa vem som kan flytta innehåll från delade enheter Tillåt endast användare i din organisation att flytta filer från sina delade enheter till en Drive-plats i en annan organisation. |
| Styr innehållsdelning i nya delade enheter Begränsa vem som kan skapa delade enheter, komma åt innehåll eller ändra inställningarna för nya delade enheter. |
Begränsa lokala kopior av Drive-data
| Inaktivera åtkomst till offlinedokument För att minska risken för dataläckor , överväg att inaktivera åtkomst till offlinedokument. När dokument är tillgängliga offline lagras en kopia av dokumentet lokalt. Om du har en affärsmässig anledning att aktivera åtkomst till offlinedokument, aktivera den här funktionen per organisationsenhet för att minimera risken. |
| Inaktivera åtkomst till Drive på datorn Användare kan få skrivbordsåtkomst till Drive med Google Drive för datorn. För att minska risken för dataläckor , överväg att inaktivera skrivbordsåtkomst till Drive. Om du väljer att aktivera skrivbordsåtkomst, aktivera det bara för användare med ett kritiskt affärsbehov. |
Kontrollera åtkomst till dina data från tredjepartsappar
| Tillåt inte tillägg för Google Dokument För att minska risken för dataläckor , överväg att inte tillåta användare att installera tillägg för Google Dokument från tilläggsbutiken. För att stödja ett specifikt affärsbehov kan du distribuera specifika tillägg för Google Dokument som är i linje med din organisationspolicy. |
Skydda känsliga uppgifter
| Blockera eller varna vid delning av filer med känsliga uppgifter För att minska risken för dataläckor , konfigurera regler för dataförlustskydd för att söka igenom filer efter känsliga uppgifter och vidta åtgärder när användare försöker dela matchande filer externt. Du kan till exempel blockera extern delning av dokument som innehåller passnummer och få en e-postavisering. |
Gmail (endast Google Workspace)
Konfigurera autentisering och infrastruktur
| Autentisera e-post med SPF, DKIM och DMARC SPF, DKIM och DMARC etablerar ett e-postvalideringssystem som använder DNS-inställningar för att autentisera, signera digitalt och förhindra förfalskning av din domän. Ibland förfalskar angripare "Från"-adressen i e-postmeddelanden så att de ser ut att komma från en användare i din domän. För att förhindra detta kan du konfigurera SPF och DKIM på alla utgående e-postströmmar. När SPF och DKIM är på plats kan du skapa en DMARC-post för att definiera hur Google och andra mottagare ska hantera oautentiserade e-postmeddelanden som påstås komma från din domän. Förhindra skräppost, förfalskning och nätfiske med Gmail-autentisering |
| Konfigurera gateways för inkommande e-post för att fungera med SPF SPF hjälper till att förhindra att dina utgående meddelanden skickas till skräppost, men en gateway kan påverka hur SPF fungerar. Om du använder en e-postgateway för att dirigera inkommande e-post, se till att den är korrekt konfigurerad för Sender Policy Framework (SPF) . |
| Tillämpa TLS med dina partnerdomäner Ställ in TLS-inställningen så att den kräver en säker anslutning för e-post till (eller från) partnerdomäner. |
| Kräv avsändarautentisering för alla godkända avsändare När du skapar en adresslista med godkända avsändare som kan kringgå skräppostklassificering krävs autentisering. När avsändarautentisering är avstängd kan Gmail inte verifiera att meddelandet skickades av den person det verkar komma ifrån. Att kräva autentisering minskar risken för förfalskning och nätfiske/whaling . Läs mer om avsändarautentisering . |
| Konfigurera MX-poster för korrekt e-postflöde Konfigurera MX-posterna så att de pekar på Googles e-postservrar som post med högsta prioritet för att säkerställa korrekt e-postflöde till dina Google Workspace-domänanvändare. Detta minskar risken för dataradering (genom förlorad e-post) och hot från skadlig programvara . Konfigurera MX-poster för Google Workspace Gmail | Värden för MX-poster i Google Workspace |
Skydda användare och organisationer
| Inaktivera IMAP/POP-åtkomst IMAP- och POP-klienter för skrivbordet låter användare komma åt Gmail via e-postklienter från tredje part. Inaktivera POP- och IMAP-åtkomst för alla användare som inte uttryckligen behöver denna åtkomst. Detta minskar riskerna för dataläckor , dataradering och dataexfiltrering . Det kan också minska hotet om attacker eftersom IMAP-klienter kanske inte har liknande skydd som klienter från första part. |
| Inaktivera automatisk vidarebefordran Förhindra att användare automatiskt vidarebefordrar inkommande e-post till en annan adress. Detta minskar risken för dataintrång genom vidarebefordran av e-post, vilket är en vanlig teknik som används av angripare. |
| Aktivera omfattande e-postlagring Omfattande e-postlagring säkerställer att en kopia av all skickad och mottagen e-post i din domän – inklusive e-post som skickas eller tas emot av postlådor utanför Gmail – lagras i de associerade användarnas Gmail-postlådor. Aktivera den här inställningen för att minska risken för dataradering och, om du använder Google Arkiv, se till att e-post behålls eller hålls kvar. Konfigurera omfattande e-postlagring | Omfattande e-postlagring och valv |
| Kringgå inte skräppostfilter för interna avsändare För att minska risken för förfalskning och nätfiske/whaling , stäng av Bypass spamfilter för interna avsändare . När den här inställningen är aktiverad kan det orsaka problem för grupper med externa medlemmar eller behörighet att publicera meddelanden, eftersom meddelanden från externa gruppmedlemmar kan behandlas som interna meddelanden. Om den externa avsändaren har ställt in DMARC-policyer på karantän eller avvisande, skrivs inkommande meddelanden om så att de visas som om de skickades från gruppen. Meddelandena anses då vara interna. |
| Lägg till inställningen för skräppostrubriker till alla standardrutningsregler Skräppostrubriker hjälper till att maximera filtreringskapaciteten hos e-postservrar nedströms och minska riskerna för förfalskning och nätfiske/whaling . När du konfigurerar standardrutningsregler markerar du rutan Lägg till X-Gm-Spam- och X-Gm-Phishy-rubriker så att Gmail lägger till dessa rubriker för att indikera meddelandets skräppost- och nätfiskestatus. Till exempel kan en administratör på en nedströmsserver använda den här informationen för att konfigurera regler som hanterar skräppost och nätfiske annorlunda än ren e-post. |
| Aktivera förbättrad skanning av meddelanden före leverans När Gmail identifierar att ett e-postmeddelande kan vara nätfiske, gör den här inställningen att Gmail kan utföra ytterligare kontroller av meddelandet. |
| Aktivera varningar för externa mottagare Gmail upptäcker om en extern mottagare i ett e-postsvar inte är någon som användaren interagerar med regelbundet, eller inte finns i användarens Kontakter. När du konfigurerar den här inställningen får dina användare en varning och ett alternativ att stänga. |
| Aktivera ytterligare skydd för bilagor Google skannar inkommande meddelanden för att skydda mot skadlig programvara, även om de ytterligare inställningarna för skydd mot skadliga bilagor inte är aktiverade. Att aktivera ytterligare skydd mot bilagor kan fånga e-postmeddelanden som tidigare inte identifierades som skadliga . |
| Aktivera ytterligare länk- och externt innehållsskydd |
| Aktivera ytterligare förfalskningsskydd Google skannar inkommande meddelanden för att skydda mot förfalskning även om ytterligare inställningar för förfalskningsskydd inte är aktiverade. Att aktivera ytterligare förfalsknings- och autentiseringsskydd kan till exempel minska risken för förfalskning baserat på liknande domännamn eller medarbetarnamn. |
Säkerhetsöverväganden för dagliga Gmail-uppgifter
| Var försiktig när du åsidosätter skräppostfilter För att undvika en ökning av skräppost, var noga med att tänka efter och vara försiktig om du åsidosätter Gmails standardfilter för skräppost.
|
| Inkludera inte domäner i listan över godkända avsändare Om du har konfigurerat godkända avsändare och markerat Bypass spamfilter för meddelanden som tas emot från adresser eller domäner inom dessa listor över godkända avsändare, ta bort alla domäner från din lista över godkända avsändare. Att exkludera domäner från listan över godkända avsändare minskar risken för förfalskning och nätfiske/whaling . |
| Lägg inte till IP-adresser i din godkännandelista Generellt sett markeras inte e-post som skickas från IP-adresser på din tillåtelselista som skräppost. För att dra full nytta av Gmails skräppostfiltreringstjänst och för bästa resultat vid klassificering av skräppost bör IP-adresser till dina e-postservrar och partner-e-postservrar som vidarebefordrar e-post till Gmail läggas till i en gateway för inkommande e-post, och inte i en IP-tillåtelselista. Lägg till IP-adresser i tillåtelselistor i Gmail | Konfigurera en gateway för inkommande e-post |
Skydda känsliga uppgifter
| Skanna och blockera e-postmeddelanden med känsliga uppgifter För att minska risken för dataläckor , skanna utgående e-postmeddelanden med fördefinierade dataförlustskyddsdetektorer för att vidta åtgärder när användare tar emot eller skickar meddelanden med känsligt innehåll. Du kan till exempel blockera användare från att skicka meddelanden som innehåller kreditkortsnummer och få en e-postavisering. |
Google Grupper
| Använd grupper utformade för säkerhet Säkerställ att endast utvalda användare har åtkomst till känsliga appar och resurser genom att hantera dem med säkerhetsgrupper. Detta minskar risken för dataläckor . |
| Lägg till säkerhetsvillkor för administratörsroller Tillåt endast vissa administratörer att kontrollera säkerhetsgrupper. Utse andra administratörer som endast kan kontrollera icke-säkerhetsgrupper. Detta minskar risken för dataläckor och skadliga insiderhot . |
| Konfigurera privat åtkomst till dina grupper Välj inställningen Privat för att begränsa åtkomsten till medlemmar i din domän. (Gruppmedlemmar kan fortfarande ta emot e-post från andra källor än domänen.) Detta minskar risken för dataläckor . |
| Begränsa skapandet av grupper till administratörer Tillåt endast administratörer att skapa grupper. Detta minskar risken för dataläckor . |
| Anpassa dina inställningar för gruppåtkomst Rekommendationer:
|
| Inaktivera vissa åtkomstinställningar för interna grupper Följande inställningar tillåter vem som helst på internet att gå med i gruppen, skicka meddelanden och visa diskussionsarkiv. Inaktivera dessa inställningar för interna grupper:
|
| Aktivera skräppostmoderering för dina grupper Du kan skicka meddelanden till modereringskön med eller utan att meddela moderatorer, omedelbart avvisa skräppostmeddelanden eller tillåta att meddelandena publiceras utan moderering. |
Webbplatser (endast Google Workspace)
| Blockera delningssajter utanför domänen Ställ in delningsalternativ för Google Sites | Ställ in delningsalternativ: klassiska Sites |
Arkiv (endast Google Workspace)
| Behandla konton med arkivbehörigheter som känsliga Skydda konton som tilldelats Vault-administratörsroller på samma sätt som du skyddar superadministratörskonton. |
| Regelbundet granska aktivitet i Vault Användare med arkivbehörighet kan söka efter och exportera andra användares data, samt ändra lagringsregler som kan rensa data som du behöver behålla. Övervaka arkivaktivitet för att säkerställa att endast godkända dataåtkomst- och lagringspolicyer gäller. |
Nästa steg – Övervakning, utredning och åtgärd
| Granska dina säkerhetsinställningar och undersök aktiviteten Besök regelbundet säkerhetscentret för att granska er säkerhetssituation, undersöka incidenter och vidta åtgärder baserat på den informationen. |
| Granska administratörens granskningslogg Använd administratörens granskningslogg för att granska en historik över varje uppgift som utförts i Googles administratörskonsol, vilken administratör som utförde uppgiften, datumet och IP-adressen som administratören loggade in från. |