作为管理员,如果您怀疑某个账号可能被盗用,请使用此安全核对清单来确保用户账号(如被盗用或入侵的账号)的安全。请与受影响的用户合作,共同按照最终用户 Gmail 安全核对清单完成检查。
请按照以下安全步骤操作:
第 1 步:暂时停用怀疑被盗用的用户账号
- 暂停用户以阻止未经授权的访问。
注意:暂停用户会重置用户的登录 Cookie 和 OAuth 令牌。
- 调查可能未经授权的活动并恢复账号。您也可以考虑为网域注册两步验证 (2SV)。
- 让受影响的用户查看其辅助邮箱地址,然后按照 Gmail 安全核对清单完成检查。
第 2 步:调查账号是否存在未经授权的活动
- 如果账号遭到盗用的用户是管理员,请查看“管理员审核日志”,了解相应用户最近是否更改了任何配置。如果情况不适用,则跳过此步骤。
- 查看与受影响账号相关联的移动设备并擦除任何可疑设备。
- 调查可能未经授权的活动:
- 使用管理控制台中的用户日志事件查看您网域中过去 6 个月内成功和失败的网络登录活动的完整列表。对于可疑的登录活动,系统会使用警告图标进行标识。您也可以通过 Reports API 检索网域中账号的登录信息。
- 使用电子邮件日志搜索功能查看网域的递送日志,并评估与可能已被盗用的账号来往的邮件。如果账号由保险柜管理,您可以使用电子邮件日志搜索功能查看电子邮件活动。
注意:如果您的用户升级到包含保险柜的版本,则可以恢复被永久删除的电子邮件或文档。 - 使用安全报告评估网域面临的数据安全风险。您应该查看这些报告:
- OAuth 日志事件
- Google 群组日志事件
- 云端硬盘日志事件
支持此功能的版本:一线员工入门版、一线员工标准版和一线员工 Plus 版;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版; 基本功能入门版、基本功能版、企业基本功能版和企业基本功能 Plus 版;G Suite 商务版。 版本对比
- 日历日志事件
- 检查攻击者是否恶意更改了设置。您可以通过 Gmail API 检索用户账号设置(例如转发设置)。如果您怀疑某个 consumer@gmail.com 账号被用于入侵行为,请向我们举报。
第 3 步:撤消受影响账号的访问权限
- 按照重置用户密码中的步骤操作。
- 为用户撤消 OAuth 2.0 令牌。
- 在您重置用户密码后,某些使用 OAuth 2.0 身份验证方法的应用会停止访问数据。用户必须使用其账号名和新密码登录以接收新的 OAuth 2.0 令牌。
- 移除用户创建过的应用专用密码。
第 4 步:将访问权限重新返还给用户
采取更多安全措施
我们建议您采取更多步骤,确保您用户账号的安全性。
第 1 步:使用安全密钥注册两步验证
注册两步验证可为您用户的账号多增加一重安全保障。用户在登录账号时不仅要输入自己的用户名和密码,还要输入验证码。有关详情,请参阅添加两步验证。我们建议使用安全密钥而不是两步验证安全代码,以更好地防范钓鱼式攻击。
第 2 步:添加、保护或更新账号恢复选项
请参阅为管理员账号添加账号恢复选项,获取关于添加辅助电子邮件地址和电话号码的说明。我们建议更改密码以保障这些辅助电子邮件地址的安全,也可将辅助电子邮件地址更新为新地址。
第 3 步:启用账号活动提醒
作为管理员,您可以选择在发生重要活动(例如,出现潜在的可疑登录或其他管理员更改了服务设置)时接收账号活动提醒。
请访问 Google 安全中心,获取关于保障账号安全的一般性建议。