Bästa säkerhetstips för administratörskonton

Följ dessa bästa metoder för att förbättra säkerheten för dina administratörskonton och i förlängningen för ditt företag som helhet.

För fler säkerhetstips, se Säkerhetschecklistor .

Skydda administratörskonton

Kräv tvåstegsverifiering för administratörskonton

Om någon lyckas få tag på administratörslösenordet hjälper tvåstegsverifiering (2SV) till att skydda kontot från obehörig åtkomst. Det är särskilt viktigt för superadministratörer att använda 2SV eftersom deras konton styr åtkomst till all affärs- och medarbetardata i organisationen.

Skydda ditt företag med tvåstegsverifiering

Använd säkerhetsnycklar för tvåstegsverifiering

Det finns flera 2SV-metoder, inklusive säkerhetsnycklar, Google-prompt, Google Authenticator och reservkoder. Säkerhetsnycklar är små hårdvaruenheter som används för andrafaktorsautentisering. De hjälper till att motstå nätfiskehot och är den säkraste formen av 2SV.

Säkerhetsnycklar

Dela inte administratörskonton mellan användare

Ge varje administratör ett eget identifierbart administratörskonto. Annars, om flera personer använder samma administratörskonto för att logga in på administratörskonsolen, till exempel admin@example.com, kan du inte se vilken administratör som är ansvarig för specifika aktiviteter i granskningsloggen.

Skydd mot riktade attacker

Du kan tillämpa många av rekommendationerna i den här artikeln samtidigt genom att registrera superadministratörskonton och andra känsliga konton i programmet Avancerat skydd.

Skydda användare med programmet Avancerat skydd

Hantera superadministratörskonton

Konfigurera flera superadministratörskonton

Din organisation bör ha fler än ett superadministratörskonto, där varje konto hanteras av en separat person (undvik att dela ett administratörskonto). Om ett konto förloras eller komprometteras kan en annan superadministratör utföra viktiga uppgifter medan det andra kontot återställs.

Använd inte ett superadministratörskonto för dagliga aktiviteter

Ge varje superadministratör två konton: ett eget superadministratörskonto och ett separat konto för dagliga aktiviteter. Användare bör bara logga in på ett superadministratörskonto för att utföra superadministratörsuppgifter , till exempel att konfigurera tvåstegsverifiering (2SV), hantera fakturering och användarlicenser eller hjälpa en annan administratör att återställa sitt konto.

Superadministratörer bör använda ett separat konto som inte är ett administratörskonto för dagliga aktiviteter.

Om Maria och James till exempel är superadministratörer, bör de ha varsin identifierbar administratörskonto och en användarkonto, enligt följande:

  • admin-maria@example.com, maria@example.com
  • admin-james@example.com, james@example.com

Se till att du får viktiga meddelanden från administratören

Om du inte loggar in ofta med ditt primära administratörskonto kan du missa viktiga obligatoriska servicemeddelanden från Google. För att säkerställa att du får dessa meddelanden, konfigurera en sekundär e-postadress för att skicka dem till ett konto som du använder regelbundet.

Skicka fakturerings- och kontomeddelanden till en annan administratör

Förbli inte inloggad på ett superadministratörskonto

Att vara inloggad på ett superadministratörskonto när du inte utför specifika administrativa uppgifter kan öka risken för nätfiskeattacker. Superadministratörer bör logga in vid behov för att utföra specifika uppgifter och sedan logga ut.

Använd konton som inte är superadministratörer för dagliga administrativa uppgifter

Använd superadministratörskontot endast när det behövs. Delegera administratörsuppgifter till användarkonton med begränsade administratörsroller. Använd metoden med lägst behörighet, där varje användare har tillgång till de resurser och verktyg som behövs för deras vanliga uppgifter. Du kan till exempel ge en administratör behörighet att skapa användarkonton och återställa lösenord, men inte låta dem ta bort användarkonton.

Om administratörsroller

Välj hur superadministratörer får tillbaka åtkomst till sitt konto

Styr hur superadministratörer får åtkomst till sina konton om de glömmer sitt lösenord genom att aktivera eller inaktivera självåterställning av kontot. För de flesta nuvarande och alla nya kunder är återställning av superadministratörskonton avstängd som standard . Om du är en befintlig kund med färre än 3 superadministratörer eller 500 användare är inställningen aktiverad som standard för att matcha tidigare beteende.

Tillåt superadministratörer att återställa sina lösenord

Övervaka aktivitet på administratörskonton

Konfigurera e-postaviseringar för administratörer

Övervaka administratörsaktivitet och spåra potentiella säkerhetsrisker genom att konfigurera e-postaviseringar för vissa händelser, till exempel misstänkta inloggningsförsök, komprometterade mobila enheter eller ändringar av en annan administratör.

När du aktiverar en avisering för en aktivitet får du ett e-postmeddelande varje gång aktiviteten inträffar.

E-postaviseringar från administratörer och systemdefinierade regler

Granska händelser i administratörsloggen

Använd logghändelsedata för att se en historik över varje uppgift som utförts i Googles administratörskonsol, vilken administratör som utförde uppgiften, datumet och IP-adressen där administratören loggade in.

Aktivitet från en superadministratör visas i kolumnen Händelsebeskrivning som _SEED_ADMIN_ROLE , följt av användarnamnet.

Administratörslogghändelser

Förbered för återställning av administratörskonto

Lägg till återställningsalternativ till administratörskonton

Administratörer bör lägga till återställningsalternativ till sitt administratörskonto.

Om en administratör glömmer sitt lösenord kan de klicka på länken Behöver du hjälp? på inloggningssidan så skickar Google ett nytt lösenord via telefon, sms eller e-post. För att göra det behöver Google ett återställningstelefonnummer och en e-postadress för kontot.

Lägg till information om kontoåterställning till ditt administratörskonto

Ha informationen till hands för lösenordsåterställning

Om självåterställning för superadministratörskonton är aktiverat kan superadministratörer som har lagt till återställningsalternativ till sina konton återställa sitt lösenord med hjälp av återställningsalternativ via e-post eller telefon.

Om självåterställning av superadministratörskonton är avstängt och ingen annan superadministratör är tillgänglig för att återställa lösenordet, kan superadministratörer som behöver återställa sitt lösenord använda återställningsguiden.

För att verifiera identitet ställer Google frågor om organisationens konto:

  • Datumet då kontot skapades.
  • Ursprunglig sekundär e-postadress kopplad till kontot (e-postadress som användes för att registrera sig).
  • Google-ordernummer som är kopplat till kontot (om tillämpligt).
  • Antal skapade användarkonton.
  • Faktureringsadress kopplad till kontot.
  • Typ av kreditkort som används och dess fyra sista siffror.

Google ber också administratören att verifiera DNS-ägarskapet för domänen, så administratören behöver ha inloggningsuppgifterna för att redigera domänens DNS-inställningar hos sin registrar.

Återställ ditt administratörslösenord – om e-post- och telefonalternativ inte är tillgängliga

Registrera en reservsäkerhetsnyckel

Administratörer bör registrera mer än en säkerhetsnyckel för sitt administratörskonto och förvara den på ett säkert ställe. Om deras primära säkerhetsnyckel tappas bort eller blir stulen kan de fortfarande logga in på sitt konto.

Lägg till en säkerhetsnyckel till ditt konto

Spara reservkoder i förväg

Om en administratör förlorar sin säkerhetsnyckel eller telefon (där de får en 2SV-verifieringskod eller ett Google-meddelande) kan de använda en reservkod för att logga in.

Administratörer bör generera och skriva ut reservkoder ifall de behövs. Förvara reservkoder på en säker plats.

Generera och skriv ut reservkoder