Xác định và bảo mật tài khoản bị xâm phạm

Bước 1. Tạm ngưng tài khoản người dùng bị nghi ngờ bị xâm nhập

1. Tạm ngưng người dùng để ngăn chặn hành vi truy cập trái phép.

   Lưu ý: Việc tạm ngưng người dùng sẽ đặt lại cookie đăng nhập và mã thông báo OAuth của người dùng.

2. Điều tra hoạt động có khả năng là trái phép và khôi phục tài khoản. Bạn cũng có thể cân nhắc đăng ký miền vào quy trình xác minh 2 bước (2SV).
3. Yêu cầu người dùng bị ảnh hưởng xem lại địa chỉ khôi phục và hoàn tất danh sách kiểm tra bảo mật Gmail.

Bước 2. Điều tra tài khoản để tìm hoạt động trái phép

1. Nếu người dùng bị xâm nhập là quản trị viên, hãy xem nhật ký kiểm tra của quản trị viên để biết mọi thay đổi về cấu hình mà người dùng đã thực hiện gần đây. Bỏ qua bước này nếu không áp dụng.
2. Xem lại các thiết bị di động được liên kết với tài khoản bị ảnh hưởng và xoá mọi thiết bị đáng ngờ.
3. Điều tra hoạt động có khả năng là trái phép:
   1. Sử dụng Sự kiện trong nhật ký người dùng trong Bảng điều khiển dành cho quản trị viên để xem danh sách đầy đủ các lần đăng nhập dựa trên web thành công và không thành công trong miền của bạn trong tối đa 6 tháng. Các lần đăng nhập đáng ngờ được gắn cờ bằng biểu tượng cảnh báo. Bạn cũng có thể truy xuất các lần đăng nhập cho tài khoản miền thông qua API Báo cáo.
   2. Sử dụng tính năng Tìm kiếm nhật ký email để xem nhật ký gửi cho các miền của bạn và đánh giá quá trình chuyển tiếp thư đến và đi từ các tài khoản có thể bị xâm nhập. Nếu tài khoản được Vault quản lý, bạn có thể sử dụng tính năng Tìm kiếm nhật ký email để xem hoạt động email.
      Lưu ý: Nếu người dùng của bạn nâng cấp lên phiên bản có Vault, họ có thể khôi phục email hoặc tài liệu đã bị xoá vĩnh viễn.
   3. Sử dụng Báo cáo bảo mật để đánh giá mức độ rủi ro về bảo mật dữ liệu đối với miền. Bạn nên xem các báo cáo sau:
      • Sự kiện trong nhật ký của OAuth
      • Sự kiện trong nhật ký của Groups
      • Sự kiện trong nhật ký của Drive

        Các phiên bản có hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Starter, Business Standard và Business Plus; Enterprise Standard và Enterprise Plus; Education Fundamentals, Education Standard và Education Plus; Essentials Starter, Essentials, Enterprise Essentials và Enterprise Essentials Plus; G Suite Business. So sánh phiên bản của bạn

      • Sự kiện trong nhật ký của Lịch
   4. Xác minh xem có chế độ cài đặt độc hại nào được tạo hay không. Bạn có thể truy xuất các chế độ cài đặt tài khoản người dùng (chẳng hạn như chế độ cài đặt chuyển tiếp) thông qua API Gmail. Nếu nghi ngờ tài khoản người tiêu dùng@gmail.com được sử dụng trong quá trình xâm nhập này, vui lòng báo cáo.

Bước 3. Thu hồi quyền truy cập vào tài khoản bị ảnh hưởng

1. Làm theo các bước trong bài viết Đặt lại mật khẩu của người dùng.
2. Thu hồi mã thông báo OAuth 2.0 cho người dùng.
3. Một số ứng dụng sử dụng phương thức xác thực OAuth 2.0 sẽ ngừng truy cập vào dữ liệu sau khi bạn đặt lại mật khẩu của người dùng. Người dùng phải đăng nhập bằng tên tài khoản và mật khẩu mới để nhận mã thông báo OAuth 2.0 mới.
4. Xoá Mật khẩu ứng dụng mà người dùng đã tạo.

Bước 4. Cấp lại quyền truy cập cho người dùng

1. Huỷ tạm ngưng tài khoản.
2. Thông báo cho người dùng về mật khẩu tạm thời mới và yêu cầu họ đặt mật khẩu mới, duy nhất (không dùng mật khẩu đã sử dụng với bất kỳ trang web hoặc ứng dụng nào khác).
3. Bật tính năng xác minh 2 bước cho miền và đăng ký người dùng bằng khoá bảo mật (nên dùng hơn mã 2SV).
4. Làm việc với người dùng để hoàn tất danh sách kiểm tra bảo mật Gmail cho người dùng cuối. Ví dụ: đảm bảo rằng tất cả các bộ lọc của người dùng cuối và các lựa chọn chuyển tiếp đều được định cấu hình đúng cách.
   1. Cập nhật các tùy chọn khôi phục tài khoản.
   2. Kiểm tra tài khoản của bạn để tìm hoạt động bất thường.
   3. Kiểm tra xem có thư bị thiếu hoặc đáng ngờ không.
   4. Kiểm tra lỗi trong danh bạ.
   5. Kiểm tra chế độ cài đặt Gmail.

Bước 1. Đăng ký xác minh 2 bước bằng khoá bảo mật

Việc đăng ký xác minh 2 bước sẽ thêm một lớp bảo mật bổ sung cho tài khoản của người dùng. Tính năng này yêu cầu người dùng nhập mã xác minh ngoài tên người dùng và mật khẩu khi đăng nhập vào tài khoản. Xem bài viết Thêm tính năng xác minh 2 bước để biết thông tin chi tiết. Bạn nên sử dụng khoá bảo mật thay vì mã bảo mật 2SV để bảo vệ tốt hơn trước hành vi lừa đảo.

Bước 2. Thêm, bảo mật hoặc cập nhật các tùy chọn khôi phục

Xem bài viết Thêm các tùy chọn khôi phục vào tài khoản quản trị viên để biết hướng dẫn về cách thêm địa chỉ email và số điện thoại phụ. Bạn nên bảo mật địa chỉ email phụ bằng cách thay đổi mật khẩu hoặc cập nhật email phụ thành địa chỉ mới.

Bước 3. Bật thông báo về hoạt động tài khoản

Là quản trị viên, bạn có thể chọn nhận thông báo về hoạt động tài khoản khi các sự kiện quan trọng xảy ra, chẳng hạn như các lần đăng nhập có khả năng là đáng ngờ hoặc các thay đổi về chế độ cài đặt dịch vụ do quản trị viên khác thực hiện.

Xem Trung tâm an toàn của Google để biết các đề xuất chung về cách bảo mật tài khoản.