Identificeer en beveilig gecompromitteerde accounts.

Stap 1. Schort het vermoedelijk gecompromitteerde gebruikersaccount tijdelijk op.

1. Schors een gebruiker om ongeautoriseerde toegang te voorkomen.

   Let op: het schorsen van een gebruiker reset de aanmeldingscookies en OAuth-tokens van die gebruiker.

2. Onderzoek de mogelijk ongeautoriseerde activiteit en herstel het account. Je kunt ook overwegen om tweestapsverificatie (2SV) voor het domein in te stellen.
3. Vraag de betreffende gebruiker om zijn of haar hersteladres te controleren en de beveiligingschecklist van Gmail in te vullen.

Stap 2. Onderzoek het account op ongeautoriseerde activiteiten.

1. Als de gebruiker wiens account is gecompromitteerd een beheerder is, controleer dan de beheerdersauditlogboeken op recente configuratiewijzigingen. Sla deze stap over als deze niet van toepassing is.
2. Controleer de mobiele apparaten die aan het betreffende account zijn gekoppeld en wis alle verdachte apparaten.
3. Onderzoek de mogelijk ongeoorloofde activiteit:
   1. Gebruik de logboekgebeurtenissen van gebruikers in de beheerdersconsole om een ​​volledige lijst te bekijken van geslaagde en mislukte webgebaseerde aanmeldingen in uw domein gedurende maximaal 6 maanden. Verdachte aanmeldingen worden gemarkeerd met een waarschuwingspictogram. U kunt de aanmeldingen voor domeinaccounts ook ophalen via de rapportage-API .
   2. Gebruik de zoekfunctie voor e-maillogboeken om de bezorgingslogboeken voor uw domeinen te bekijken en het berichtenverkeer van en naar mogelijk gecompromitteerde accounts te evalueren. Als het account wordt beheerd door Vault, kunt u de zoekfunctie voor e-maillogboeken gebruiken om de e-mailactiviteit te bekijken.
      Let op: als uw gebruikers upgraden naar een editie die Vault bevat, kunnen ze permanent verwijderde e-mails of documenten herstellen.
   3. Gebruik het beveiligingsrapport om de blootstelling van het domein aan databeveiligingsrisico's te evalueren. U dient de volgende rapporten te raadplegen:
      • OAuth-logboekgebeurtenissen
      • Groepen registreren gebeurtenissen
      • Gebeurtenissen in het schijflogboek

        Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Starter, Business Standard en Business Plus; Enterprise Standard en Enterprise Plus; Education Fundamentals, Education Standard en Education Plus; Essentials Starter, Essentials, Enterprise Essentials en Enterprise Essentials Plus; G Suite Business. Vergelijk uw editie

      • Agenda-logboekgebeurtenissen
   4. Controleer of er schadelijke instellingen zijn aangemaakt. U kunt gebruikersaccountinstellingen (zoals doorstuurinstellingen) ophalen via de Gmail API . Als u vermoedt dat een consumentenaccount met het domein @gmail.com is gebruikt bij deze inbreuk, meld dit dan.

Stap 3. De toegang tot het betreffende account intrekken.

1. Volg de stappen in ' Het wachtwoord van een gebruiker opnieuw instellen' .
2. Trek de OAuth 2.0-tokens voor de gebruiker in.
3. Sommige applicaties die de OAuth 2.0-authenticatiemethode gebruiken, stoppen met het openen van gegevens nadat u het wachtwoord van een gebruiker opnieuw hebt ingesteld . De gebruiker moet zich aanmelden met zijn accountnaam en het nieuwe wachtwoord om een ​​nieuw OAuth 2.0-token te ontvangen.
4. Verwijder de app-wachtwoorden die de gebruiker heeft aangemaakt.

Stap 4. Geef de gebruiker weer toegang.

1. Deblokkeer het account.
2. Informe gebruikers over hun nieuwe tijdelijke wachtwoorden en vraag hen om nieuwe, unieke wachtwoorden in te stellen (wachtwoorden die niet voor andere websites of applicaties worden gebruikt).
3. Schakel tweestapsverificatie in voor het domein en registreer gebruikers met beveiligingssleutels (aanbevolen boven 2SV-codes).
4. Werk samen met gebruikers om de beveiligingschecklist voor Gmail voor eindgebruikers te voltooien. Zorg er bijvoorbeeld voor dat al uw filters en doorstuuropties voor eindgebruikers correct zijn geconfigureerd.
   1. Werk uw accountherstelopties bij.
   2. Controleer uw account op ongebruikelijke activiteiten.
   3. Controleer op ontbrekende of verdachte berichten.
   4. Controleer uw contacten op fouten.
   5. Controleer je Gmail-instellingen.

Stap 1. Meld je aan voor tweestapsverificatie met beveiligingssleutels.

Door tweestapsverificatie in te schakelen, voegt u een extra beveiligingslaag toe aan de accounts van uw gebruikers. Gebruikers moeten naast hun gebruikersnaam en wachtwoord ook een verificatiecode invoeren om in te loggen. Zie Tweestapsverificatie toevoegen voor meer informatie. We raden aan om beveiligingssleutels te gebruiken in plaats van 2SV-beveiligingscodes voor een betere bescherming tegen phishing.

Stap 2. Herstelopties toevoegen, beveiligen of bijwerken.

Zie 'Herstelopties toevoegen aan uw beheerdersaccount' voor instructies over het toevoegen van secundaire e-mailadressen en telefoonnummers. We raden aan om secundaire e-mailadressen te beveiligen door de wachtwoorden te wijzigen of het secundaire e-mailadres te wijzigen in een nieuw adres.

Stap 3. Schakel meldingen voor accountactiviteit in.

Als beheerder kunt u ervoor kiezen om meldingen te ontvangen over accountactiviteit wanneer er belangrijke gebeurtenissen plaatsvinden, zoals mogelijk verdachte aanmeldingen of wijzigingen in service-instellingen door andere beheerders.

Raadpleeg het Veiligheidscentrum van Google voor algemene aanbevelingen over het beveiligen van uw account.