In qualità di amministratore, se sospetti che un account sia stato violato, puoi servirti di questo elenco di controllo per accertarti che gli account dei tuoi utenti (ad esempio quelli compromessi o violati) siano protetti. Collabora con gli utenti interessati al completamento della checklist per la sicurezza di Gmail per gli utenti finali.
Adotta le misure di sicurezza descritte nei seguenti passaggi
Passaggio 1: sospendere temporaneamente l'account utente violato
- Sospendi l'utente per impedire accessi non autorizzati.
Nota: la sospensione comporta la reimpostazione dei cookie di accesso e dei token OAuth dell'utente.
- Analizza le attività potenzialmente sospette e ripristina l'account. Potresti anche prendere in considerazione la registrazione del dominio alla verifica in due passaggi (V2P).
- Chiedi all'utente interessato di controllare l'indirizzo di recupero e di completare i passaggi dell'elenco di controllo per la sicurezza di Gmail.
Passaggio 2: esaminare l'account per rilevare eventuali attività non autorizzate
- Se l'utente il cui account è stato violato è un amministratore, esamina i log di controllo amministrativi per individuare eventuali modifiche alla configurazione apportate di recente dall'utente. Ignora questo passaggio se non è pertinente.
- Esamina i dispositivi mobili associati all'account interessato e cancella tutti i dati dagli eventuali dispositivi sospetti.
- Analizza le attività potenzialmente non autorizzate:
- Utilizza gli Eventi dei log utente nella Console di amministrazione per visualizzare l'elenco completo degli accessi basati sul web riusciti e non riusciti per il tuo dominio nei sei mesi precedenti. Gli accessi sospetti sono contrassegnati da un'icona di avviso. Puoi anche recuperare le informazioni sugli accessi relative agli account del dominio attraverso l'API di reporting.
- Utilizza la funzione Ricerca nei log email per esaminare i log di recapito dei tuoi domini e valutare il traffico dei messaggi da e verso gli account potenzialmente compromessi. Se l'account è gestito da Vault, puoi utilizzare Ricerca nei log email per esaminare le attività relative alle email.
Nota: se eseguono l'upgrade a una versione che include Vault, gli utenti possono recuperare le email e i documenti eliminati definitivamente. - Utilizza il Rapporto sulla sicurezza per valutare l'esposizione del dominio a eventuali rischi per la sicurezza dei dati. Dovresti esaminare i seguenti report:
- Eventi del log OAuth
- Eventi dei log di Gruppi
- Eventi del log di Drive
Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Starter, Business Standard e Business Plus; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard ed Education Plus; Essentials Starter, Essentials, Enterprise Essentials ed Enterprise Essentials Plus; G Suite Business. Confronta la tua versione
- Eventi del log di Calendar
- Verifica se sono state create impostazioni dannose. Puoi recuperare le impostazioni dell'account dell'utente (ad esempio quelle relative all'inoltro dei messaggi) tramite l'API Gmail. Se sospetti che un account consumer@gmail.com sia stato utilizzato nell'ambito di una violazione, ti invitiamo a segnalarlo.
Passaggio 3: revocare l'accesso all'account interessato
- Segui la procedura indicata in Reimpostare la password di un utente.
- Revoca i token OAuth 2.0 per l'utente.
- Una volta reimpostata la password dell'utente, alcune applicazioni che utilizzano il metodo di autenticazione OAuth 2.0 non potranno più accedere ai dati. L'utente dovrà accedere con il nome del proprio account e con la nuova password per ricevere un nuovo token OAuth 2.0.
- Rimuovi le password per le app create dall'utente.
Passaggio 4: ripristinare l'accesso per l'utente
- Annulla la sospensione dell'account.
- Comunica agli utenti le loro nuove password provvisorie e invitali a impostare nuove password univoche, scartando quelle già utilizzate in altri siti web o applicazioni.
- Attiva la verifica in due passaggi per il dominio e registra gli utenti utilizzando i token di sicurezza (preferibili ai token V2P).
- Aiuta gli utenti a completare la checklist per la sicurezza di Gmail per gli utenti finali. Ad esempio, assicurati che i filtri e le opzioni di inoltro di tutti gli utenti finali siano configurati in modo appropriato.
- Aggiorna le opzioni di recupero dell'account.
- Controlla se nell'account si verificano attività insolite.
- Verifica se vi sono messaggi sospetti o mancanti.
- Esamina i contatti per trovare eventuali errori.
- Controlla le impostazioni di Gmail.
Adotta misure di sicurezza aggiuntive
Ti consigliamo di adottare queste misure aggiuntive per garantire la sicurezza degli account dei tuoi utenti.
Passaggio 1: esegui la registrazione per la verifica in due passaggi con token di sicurezza
La registrazione per la verifica in due passaggi aggiunge un ulteriore livello di sicurezza agli account degli utenti. Quando accedono al loro account, oltre al nome utente e alla password, gli utenti dovranno inserire un codice di verifica. Per informazioni dettagliate, vedi Aggiungere la verifica in due passaggi. Ti consigliamo di usare i token di sicurezza anziché i token V2P per una maggiore protezione contro il phishing.
Passaggio 2: aggiungere, proteggere o aggiornare le opzioni di recupero
Leggi l'articolo Aggiunta di opzioni di recupero agli account amministrativi per istruzioni relative all'aggiunta di indirizzi email e numeri di telefono aggiuntivi. Consigliamo di proteggere gli indirizzi email secondari cambiando le password o di impostarne di nuovi.
Passaggio 3: abilitare gli avvisi sull'attività degli account
In qualità di amministratore, puoi scegliere di ricevere avvisi sull'attività degli account quando si verificano eventi importanti come, ad esempio, accessi potenzialmente sospetti o modifiche alle impostazioni del servizio apportate da altri amministratori.
Per consigli di carattere generale su come proteggere il tuo account, visita il Centro per la sicurezza online di Google.