Volg deze best practices om de beveiliging van uw beheerdersaccounts en daarmee van uw hele bedrijf te verbeteren.
Voor meer best practices op het gebied van beveiliging, zie de beveiligingschecklists .
Bescherm beheerdersaccounts
| Vereis tweestapsverificatie voor beheerdersaccounts Als iemand het beheerderswachtwoord weet te bemachtigen, helpt tweestapsverificatie (2SV) het account te beschermen tegen ongeautoriseerde toegang. Het gebruik van 2SV is vooral belangrijk voor superbeheerders, omdat hun accounts de toegang tot alle bedrijfs- en personeelsgegevens binnen de organisatie beheren. |
| Gebruik beveiligingssleutels voor tweestapsverificatie. Er bestaan verschillende methoden voor tweefactorauthenticatie (2SV), waaronder beveiligingssleutels, Google-prompts, Google Authenticator en back-upcodes. Beveiligingssleutels zijn kleine hardwareapparaten die worden gebruikt voor tweefactorauthenticatie. Ze helpen phishingaanvallen te weerstaan en zijn de veiligste vorm van 2SV. |
| Deel beheerdersaccounts niet met andere gebruikers. Geef elke beheerder een eigen, herkenbaar beheerdersaccount. Anders kunt u, als meerdere personen hetzelfde beheerdersaccount gebruiken om in te loggen op de beheerdersconsole (bijvoorbeeld admin@example.com), niet in het auditlogboek zien welke beheerder verantwoordelijk is voor specifieke activiteiten. |
| Bescherming tegen gerichte aanvallen U kunt veel van de aanbevelingen in dit artikel direct toepassen door superbeheerdersaccounts en andere gevoelige accounts aan te melden voor het Geavanceerde Beveiligingsprogramma. Bescherm gebruikers met het geavanceerde beschermingsprogramma. |
Beheer accounts van superbeheerders
| Stel meerdere superbeheerdersaccounts in. Uw organisatie zou meer dan één superbeheerdersaccount moeten hebben, elk beheerd door een aparte persoon (vermijd het delen van een beheerdersaccount). Als één account verloren gaat of gehackt wordt, kan een andere superbeheerder cruciale taken uitvoeren terwijl het andere account wordt hersteld. |
| Gebruik geen superbeheerdersaccount voor dagelijkse activiteiten. Geef elke superbeheerder twee accounts: een eigen superbeheerdersaccount en een apart account voor dagelijkse activiteiten. Gebruikers mogen alleen inloggen op een superbeheerdersaccount om superbeheerderstaken uit te voeren, zoals het instellen van tweestapsverificatie (2SV), het beheren van facturering en gebruikerslicenties, of het helpen van een andere beheerder bij het herstellen van diens account. Superbeheerders dienen een apart, niet-beheerdersaccount te gebruiken voor dagelijkse werkzaamheden. Als Maria en James bijvoorbeeld superbeheerders zijn, moeten ze elk één herkenbaar beheerdersaccount en één gebruikersaccount hebben, zoals hieronder weergegeven:
|
| Zorg ervoor dat u belangrijke mededelingen van de beheerder ontvangt. Als u niet vaak inlogt met uw primaire beheerdersaccount, mist u mogelijk belangrijke, verplichte serviceberichten van Google. Om ervoor te zorgen dat u deze berichten ontvangt, kunt u een secundair e-mailadres instellen waarnaar deze berichten worden verzonden, namelijk een account dat u regelmatig gebruikt. Factuur- en accountmeldingen naar een andere beheerder verzenden |
| Blijf niet ingelogd op een superbeheerdersaccount. Aangemeld blijven op een superbeheerdersaccount wanneer u geen specifieke beheertaken uitvoert, kan de kans op phishingaanvallen vergroten. Superbeheerders dienen zich alleen aan te melden wanneer dat nodig is voor specifieke taken en zich vervolgens weer af te melden. |
| Gebruik accounts die geen superbeheerders zijn voor dagelijkse beheertaken. Gebruik het superbeheerdersaccount alleen wanneer dat nodig is. Delegeer beheerderstaken aan gebruikersaccounts met beperkte beheerdersrechten. Hanteer het principe van minimale bevoegdheden, waarbij elke gebruiker toegang heeft tot de resources en tools die nodig zijn voor zijn of haar dagelijkse taken. U kunt een beheerder bijvoorbeeld wel de bevoegdheid geven om gebruikersaccounts aan te maken en wachtwoorden te resetten, maar niet om gebruikersaccounts te verwijderen. |
| Kies hoe superbeheerders weer toegang krijgen tot hun account. Bepaal hoe superbeheerders toegang krijgen tot hun accounts als ze hun wachtwoord vergeten door accountherstel in of uit te schakelen. Voor de meeste bestaande en alle nieuwe klanten is accountherstel voor superbeheerders standaard uitgeschakeld . Als u een bestaande klant bent met minder dan 3 superbeheerders of 500 gebruikers, is de instelling standaard ingeschakeld , conform het eerdere gedrag. |
Monitor de activiteit op beheerdersaccounts.
| Stel e-mailmeldingen voor beheerders in. Houd de activiteiten van beheerders in de gaten en spoor potentiële beveiligingsrisico's op door e-mailwaarschuwingen voor beheerders in te stellen voor bepaalde gebeurtenissen, zoals verdachte aanmeldpogingen, gecompromitteerde mobiele apparaten of wijzigingen door een andere beheerder. Wanneer je een melding voor een bepaalde activiteit inschakelt, ontvang je een e-mail telkens wanneer die activiteit plaatsvindt. E-mailwaarschuwingen voor beheerders en door het systeem gedefinieerde regels |
| Bekijk de gebeurtenissen in het beheerderslogboek. Gebruik logboekgegevens om een geschiedenis te bekijken van elke taak die in de Google Admin-console is uitgevoerd, inclusief welke beheerder de taak heeft uitgevoerd, de datum en het IP-adres waarmee de beheerder zich heeft aangemeld. Activiteit van een superbeheerder wordt in de kolom Gebeurtenisbeschrijving weergegeven als _SEED_ADMIN_ROLE , gevolgd door de gebruikersnaam. |
Bereid je voor op het herstellen van het beheerdersaccount.
| Voeg herstelopties toe aan beheerdersaccounts. Beheerders moeten herstelopties toevoegen aan hun beheerdersaccount. Als een beheerder zijn wachtwoord vergeet, kan hij op de link ' Hulp nodig?' klikken op de inlogpagina. Google stuurt dan een nieuw wachtwoord via telefoon, sms of e-mail. Hiervoor heeft Google een hersteltelefoonnummer en een e-mailadres van het account nodig. |
| Houd de benodigde informatie bij de hand voor het resetten van uw wachtwoord. Als zelfherstel voor superbeheerdersaccounts is ingeschakeld, kunnen superbeheerders die herstelopties aan hun accounts hebben toegevoegd, hun wachtwoord opnieuw instellen via e-mail of telefoon. Als zelfherstel van het superbeheerdersaccount is uitgeschakeld en er geen andere superbeheerder beschikbaar is om het wachtwoord opnieuw in te stellen, kunnen superbeheerders die hun wachtwoord opnieuw moeten instellen de herstelwizard gebruiken. Om de identiteit te verifiëren, stelt Google vragen over het account van de organisatie:
Google vraagt de beheerder ook om het DNS-eigendom van het domein te verifiëren. De beheerder moet dus over de juiste inloggegevens beschikken om de DNS-instellingen van het domein bij de registrar te kunnen wijzigen. Stel uw beheerderswachtwoord opnieuw in – als e-mail- en telefoonopties niet beschikbaar zijn. |
| Registreer een reservesleutel voor de beveiliging. Beheerders moeten meerdere beveiligingssleutels voor hun beheerdersaccount registreren en deze op een veilige plaats bewaren. Als hun primaire beveiligingssleutel verloren of gestolen wordt, kunnen ze zich nog steeds aanmelden bij hun account. |
| Bewaar back-upcodes van tevoren. Als een beheerder zijn beveiligingssleutel of telefoon kwijtraakt (waarop hij een 2SV-verificatiecode of een Google-melding ontvangt), kan hij een back-upcode gebruiken om in te loggen. Beheerders moeten back-upcodes genereren en afdrukken voor het geval ze nodig zijn. Bewaar de back-upcodes op een veilige plaats. |