Xác định và bảo mật tài khoản bị xâm phạm

Là quản trị viên, nếu nghi ngờ một tài khoản có thể bị xâm nhập, bạn có thể sử dụng danh sách kiểm tra này để đảm bảo tài khoản của người dùng được bảo mật (ví dụ: tài khoản bị xâm nhập hoặc bị chiếm đoạt). Làm việc với những người dùng bị ảnh hưởng để hoàn thành danh sách kiểm tra bảo mật Gmail dành cho người dùng cuối.

Làm theo các bước bảo mật sau

Bước 1. Tạm thời tạm ngưng tài khoản người dùng bị xâm nhập mà bạn nghi ngờ

Tạm ngưng người dùng để ngăn chặn hành vi truy cập trái phép.
Lưu ý: Việc tạm ngưng người dùng sẽ đặt lại cookie đăng nhập và mã thông báo OAuth của người dùng.
Điều tra hoạt động có thể là trái phép và khôi phục tài khoản. Bạn cũng có thể cân nhắc đăng ký miền sử dụng tính năng xác minh 2 bước (2SV).
Yêu cầu người dùng bị ảnh hưởng xem lại địa chỉ khôi phục và hoàn tất danh sách kiểm tra độ bảo mật của Gmail.

Bước 2. Điều tra tài khoản để tìm hoạt động trái phép

Nếu người dùng bị xâm nhập là quản trị viên, hãy xem xét Nhật ký kiểm tra của quản trị viên để biết mọi thay đổi về cấu hình mà người dùng đó đã thực hiện gần đây. Bỏ qua bước này nếu không áp dụng.
Kiểm tra thiết bị di động được liên kết với tài khoản chịu ảnh hưởng và xoá mọi thiết bị đáng ngờ.
Điều tra hoạt động có thể là trái phép:
1. Sử dụng Sự kiện trong nhật ký người dùng trong Bảng điều khiển dành cho quản trị viên để xem danh sách đầy đủ các lượt đăng nhập thành công và không thành công trên web trong miền của bạn trong tối đa 6 tháng. Hoạt động đăng nhập đáng ngờ được gắn cờ bằng biểu tượng cảnh báo. Bạn cũng có thể truy xuất thông tin đăng nhập cho tài khoản miền thông qua Reports API.
2. Sử dụng tính năng Tìm kiếm nhật ký email để xem nhật ký gửi cho các miền của bạn và đánh giá quá trình truyền thư đến và đi từ các tài khoản có thể đã bị xâm nhập. Nếu tài khoản được Vault quản lý, bạn có thể sử dụng tính năng Tìm kiếm nhật ký email để xem xét hoạt động liên quan đến email.
  Lưu ý: Nếu nâng cấp lên một phiên bản có Vault, người dùng có thể khôi phục email hoặc tài liệu đã bị xoá vĩnh viễn.
3. Sử dụng Báo cáo bảo mật để đánh giá mức độ tiếp xúc của miền với các rủi ro về bảo mật dữ liệu. Bạn nên xem xét các báo cáo sau:
  - Sự kiện trong nhật ký của OAuth
  - Sự kiện trong nhật ký của Groups
  - Sự kiện trong nhật ký của Drive
    Các phiên bản hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Starter, Business Standard và Business Plus; Enterprise Standard và Enterprise Plus; Education Fundamentals, Education Standard và Education Plus; Essentials Starter, Essentials, Enterprise Essentials và Enterprise Essentials Plus; G Suite Business. So sánh phiên bản của bạn
  - Sự kiện trong nhật ký của Lịch
4. Xác minh xem có chế độ cài đặt độc hại nào được tạo hay không. Bạn có thể truy xuất chế độ cài đặt tài khoản người dùng (chẳng hạn như chế độ cài đặt chuyển tiếp) thông qua API Gmail. Nếu bạn nghi ngờ rằng một tài khoản người dùng cá nhân@gmail.com đã được dùng trong vụ xâm nhập này, vui lòng báo cáo tài khoản đó.

Bước 3. Thu hồi quyền truy cập vào tài khoản bị ảnh hưởng

Làm theo các bước trong bài viết Đặt lại mật khẩu của người dùng.
Thu hồi mã thông báo OAuth 2.0 của người dùng.
Một số ứng dụng sử dụng phương thức xác thực OAuth 2.0 sẽ ngừng truy cập vào dữ liệu sau khi bạn đặt lại mật khẩu của người dùng. Người dùng phải đăng nhập bằng tên tài khoản và mật khẩu mới để nhận mã thông báo OAuth 2.0 mới.
Xoá mật khẩu ứng dụng mà người dùng đã tạo.

Bước 4. Cấp lại quyền truy cập cho người dùng

Huỷ tạm ngưng tài khoản.
Thông báo cho người dùng về mật khẩu tạm thời mới và yêu cầu họ đặt mật khẩu mới, duy nhất (không dùng mật khẩu đã sử dụng với bất kỳ trang web hoặc ứng dụng nào khác).
Bật tính năng xác minh 2 bước cho miền và đăng ký người dùng bằng khoá bảo mật (nên dùng hơn mã 2SV).
Làm việc với người dùng để hoàn tất danh sách kiểm tra độ bảo mật của Gmail dành cho người dùng cuối. Ví dụ: hãy đảm bảo rằng tất cả bộ lọc và lựa chọn chuyển tiếp của người dùng cuối đều được định cấu hình đúng cách.
1. Cập nhật các lựa chọn khôi phục tài khoản.
2. Kiểm tra tài khoản của bạn để tìm hoạt động bất thường.
3. Kiểm tra xem có thư nào bị thất lạc hoặc đáng ngờ không.
4. Kiểm tra danh bạ để xem có lỗi không.
5. Kiểm tra chế độ cài đặt Gmail.

Thực hiện các bước bảo mật bổ sung

Bạn nên thực hiện thêm các bước này để đảm bảo an toàn cho tài khoản của người dùng.

Bước 1. Đăng ký sử dụng tính năng xác minh 2 bước bằng khoá bảo mật

Việc đăng ký sử dụng tính năng xác minh 2 bước sẽ bổ sung thêm một lớp bảo mật cho tài khoản của người dùng. Tính năng này yêu cầu người dùng nhập mã xác minh ngoài tên người dùng và mật khẩu khi đăng nhập vào tài khoản của họ. Hãy xem bài viết Thêm tính năng xác minh 2 bước để biết thông tin chi tiết. Bạn nên sử dụng khoá bảo mật thay vì mã bảo mật của tính năng xác minh 2 bước để tăng cường khả năng chống lừa đảo.

Bước 2. Thêm, bảo mật hoặc cập nhật các lựa chọn khôi phục

Hãy xem bài viết Thêm các tuỳ chọn khôi phục vào tài khoản quản trị viên để biết hướng dẫn về cách thêm địa chỉ email và số điện thoại phụ. Bạn nên bảo mật địa chỉ email phụ bằng cách thay đổi mật khẩu hoặc cập nhật địa chỉ email phụ thành một địa chỉ mới.

Bước 3. Bật cảnh báo về hoạt động trên tài khoản

Là quản trị viên, bạn có thể chọn nhận thông báo về hoạt động trong tài khoản khi các sự kiện quan trọng xảy ra, chẳng hạn như hoạt động đăng nhập có thể đáng ngờ hoặc khi quản trị viên khác thay đổi chế độ cài đặt dịch vụ.

Hãy truy cập Trung tâm An toàn của Google để xem các đề xuất chung về cách giữ an toàn cho tài khoản của bạn.

Xác định và bảo mật tài khoản bị xâm phạm Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.