ค้นหาและรักษาความปลอดภัยบัญชีที่ถูกบุกรุก

ในฐานะผู้ดูแลระบบ หากคุณสงสัยว่าบัญชีอาจถูกบุกรุก ให้ใช้ รายการตรวจสอบนี้เพื่อตรวจสอบว่าบัญชีของผู้ใช้ (เช่น บัญชีที่ถูกบุกรุกหรือลักลอบใช้งาน) ปลอดภัยดีหรือไม่ ร่วมมือกับผู้ใช้ที่ได้รับผลกระทบเพื่อทำตาม รายการตรวจสอบการรักษาความปลอดภัยของ Gmail สำหรับผู้ใช้ปลายทาง

ทำตามขั้นตอนรักษาความปลอดภัยต่อไปนี้

ขั้นที่ 1 ระงับบัญชีผู้ใช้ที่สงสัยว่าถูกบุกรุกไว้ชั่วคราว

ระงับผู้ใช้เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
หมายเหตุ: การระงับผู้ใช้จะรีเซ็ตคุกกี้การลงชื่อเข้าใช้และโทเค็น OAuth ด้วย
ตรวจหากิจกรรมที่ไม่ได้รับอนุญาตและกู้คืนบัญชี คุณอาจพิจารณาลงทะเบียนโดเมนในการยืนยันแบบ 2 ขั้นตอน (2SV) ด้วยก็ได้
ให้ผู้ใช้ที่ได้รับผลกระทบตรวจสอบอีเมลสำรอง และดำเนินการตามรายการตรวจสอบการรักษาความปลอดภัยของ Gmail

ขั้นที่ 2 ตรวจสอบบัญชีเพื่อหากิจกรรมที่ไม่ได้รับอนุญาต

ถ้าผู้ใช้ที่ถูกบุกรุกเป็นผู้ดูแลระบบ โปรดดูบันทึกการตรวจสอบของผู้ดูแลระบบเพื่อหาการเปลี่ยนแปลงการกำหนดค่าที่ผู้ใช้ดำเนินการล่าสุด หากไม่ใช่ ให้ข้ามขั้นตอนนี้ไป
ตรวจสอบอุปกรณ์เคลื่อนที่ที่เกี่ยวข้องกับบัญชีที่ได้รับผลกระทบและล้างข้อมูลออกจากอุปกรณ์ที่สงสัยว่าถูกบุกรุก
ตรวจสอบกิจกรรมที่ไม่ได้รับอนุญาต
1. ใช้เหตุการณ์ในบันทึกของผู้ใช้ในคอนโซลผู้ดูแลระบบเพื่อดูรายงานการลงชื่อเข้าใช้ผ่านเว็บทั้งที่สำเร็จและไม่สำเร็จทั้งหมดในโดเมนของคุณย้อนหลังไปถึง 6 เดือน การลงชื่อเข้าใช้ที่น่าสงสัยจะมีไอคอนคำเตือนกำกับไว้ นอกจากนี้ คุณก็ยังดึงข้อมูลการลงชื่อเข้าใช้บัญชีโดเมนผ่าน Reports API ได้เช่นกัน
2. ใช้การค้นหาบันทึกอีเมลเพื่อตรวจสอบบันทึกการส่งข้อมูลของโดเมนและประเมินการส่งข้อความไปและกลับจากบัญชีที่อาจถูกบุกรุก หากห้องนิรภัยจัดการบัญชีนี้ คุณจะดูกิจกรรมในอีเมลได้โดยใช้การค้นหาบันทึกอีเมล
  หมายเหตุ: หากผู้ใช้อัปเกรดเป็นรุ่นที่มีห้องนิรภัย ผู้ใช้จะกู้คืนอีเมลหรือเอกสารที่ลบถาวรได้
3. ใช้รายงานความปลอดภัยในการประเมินความเสี่ยงด้านความปลอดภัยข้อมูลในโดเมน โดยควรตรวจสอบรายงานต่อไปนี้
  - เหตุการณ์ในบันทึกของ OAuth
  - เหตุการณ์ในบันทึกของ Groups
  - เหตุการณ์ในบันทึกของไดรฟ์
    รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus, Business Starter, Business Standard และ Business Plus, Enterprise Standard และ Enterprise Plus, Education Fundamentals, Education Standard และ Education Plus, Essentials Starter, Essentials, Enterprise Essentials และ Enterprise Essentials Plus, G Suite Business เปรียบเทียบรุ่นของคุณ
  - เหตุการณ์ในบันทึกของปฏิทิน
4. ตรวจสอบว่ามีการตั้งค่าที่เป็นอันตรายหรือไม่ คุณจะเรียกการตั้งค่าบัญชีผู้ใช้ (เช่น การตั้งค่าการส่งต่อ) ได้ผ่าน Gmail API หากสงสัยว่ามีการใช้บัญชี @gmail.com ของผู้ใช้ทั่วไปในการบุกรุกนี้ โปรดรายงาน

ขั้นตอนที่ 3 เพิกถอนสิทธิ์การเข้าถึงบัญชีได้รับผลกระทบ

ทำตามขั้นตอนในรีเซ็ตรหัสผ่านของผู้ใช้
เพิกถอนโทเค็น OAuth 2.0 สำหรับผู้ใช้
แอปพลิเคชันบางแอปที่ใช้วิธีการตรวจสอบสิทธิ์ OAuth 2.0 จะหยุดเข้าถึงข้อมูลหลังจากที่คุณรีเซ็ตรหัสผ่านของผู้ใช้ ผู้ใช้ต้องลงชื่อเข้าใช้ด้วยชื่อบัญชีและรหัสผ่านใหม่เพื่อรับโทเค็น OAuth 2.0 ใหม่
นำรหัสผ่านสำหรับแอปออก ซึ่งเป็นรหัสผ่านที่ผู้ใช้สร้าง

ขั้นตอนที่ 4 ให้สิทธิ์เข้าถึงแก่ผู้ให้อีกครั้ง

ยกเลิกการระงับบัญชี
แจ้งรหัสผ่านชั่วคราวใหม่ให้ผู้ใช้ทราบและขอให้ตั้งรหัสผ่านใหม่ที่ไม่ซ้ำกัน (ไม่ใช้รหัสผ่านที่ใช้ในเว็บไซต์หรือแอปพลิเคชันอื่น)
เปิดการยืนยันแบบ 2 ขั้นตอนให้กับโดเมนและลงทะเบียนผู้ใช้ด้วยคีย์ความปลอดภัย (แนะนำให้ใช้แทนรหัสการยืนยันแบบ 2 ขั้นตอน)
ร่วมมือกับผู้ใช้เพื่อดำเนินการตามรายการตรวจสอบการรักษาความปลอดภัยของ Gmail สำหรับผู้ใช้ปลายทาง เช่น ตรวจสอบว่าตัวกรองและตัวเลือกการส่งต่อทั้งหมดของผู้ใช้ปลายทางกำหนดค่าไว้อย่างเหมาะสม
1. อัปเดตตัวเลือกการกู้คืนบัญชี
2. ตรวจสอบบัญชีเพื่อหากิจกรรมที่ผิดปกติ
3. ตรวจสอบข้อความที่หายไปหรือน่าสงสัย
4. ตรวจสอบรายชื่อติดต่อเพื่อหาข้อผิดพลาด
5. ตรวจสอบการตั้งค่า Gmail

ทำตามขั้นตอนรักษาความปลอดภัยเพิ่มเติม

เราขอแนะนำให้ทำตามขั้นตอนเพิ่มเติมต่อไปนี้เพื่อรักษาความปลอดภัยให้กับบัญชีของผู้ใช้

ขั้นตอนที่ 1 ลงทะเบียนการยืนยันแบบ 2 ขั้นตอนด้วยคีย์ความปลอดภัย

การลงทะเบียนการยืนยันแบบ 2 ขั้นตอนจะเพิ่มความปลอดภัยอีกขั้นให้กับบัญชีของผู้ใช้ นอกเหนือจากชื่อผู้ใช้และรหัสผ่านแล้ว ผู้ใช้จะต้องกรอกรหัสยืนยันเมื่อลงชื่อเข้าใช้บัญชี โปรดดูรายละเอียดที่หัวข้อเพิ่มการยืนยันแบบ 2 ขั้นตอน เราขอแนะนำให้ใช้คีย์ความปลอดภัยแทนการใช้รหัสความปลอดภัยสำหรับการยืนยันแบบ 2 ขั้นตอน หากต้องการป้องกันฟิชชิงให้ได้มากขึ้น

ขั้นตอนที่ 2 เพิ่ม รักษาความปลอดภัย หรืออัปเดตตัวเลือกการกู้คืน

โปรดดูคำแนะนำในการเพิ่มที่อยู่อีเมลสำรองและหมายเลขโทรศัพท์ในเพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของคุณ ขอแนะนำให้รักษาความปลอดภัยของอีเมลสำรองโดยเปลี่ยนรหัสผ่านหรืออัปเดตอีเมลสำรองเป็นอีเมลใหม่

ขั้นที่ 3 เปิดฃการแจ้งเตือนกิจกรรมของบัญชี

ในฐานะผู้ดูแลระบบ คุณเลือกได้ว่าจะรับการแจ้งเตือนกิจกรรมในบัญชีเมื่อมีกิจกรรมสำคัญเกิดขึ้น เช่น การลงชื่อเข้าใช้ที่เข้าช่ายน่าสงสัยหรือการเปลี่ยนแปลงการตั้งค่าบริการที่ผู้ดูแลระบบคนอื่นทำ

โปรดดูคำแนะนำทั่วไปในการรักษาบัญชีให้ปลอดภัยในศูนย์ความปลอดภัยของ Google