Hãy làm theo các phương pháp hay nhất sau đây để cải thiện tính bảo mật của các tài khoản quản trị viên và mở rộng ra là của toàn bộ doanh nghiệp.
Để biết thêm các phương pháp bảo mật hay nhất, hãy xem Danh sách kiểm tra bảo mật.
Bảo vệ tài khoản quản trị viên
|
Yêu cầu bật tính năng Xác minh 2 bước cho tài khoản quản trị viên Nếu ai đó tìm được mật khẩu quản trị viên, thì tính năng Xác minh 2 bước (2SV) sẽ giúp bảo vệ tài khoản khỏi hành vi truy cập trái phép. Quản trị viên cấp cao cần đặc biệt sử dụng tính năng 2SV vì tài khoản của họ kiểm soát quyền truy cập vào tất cả dữ liệu của doanh nghiệp và nhân viên trong tổ chức. |
|
|
Sử dụng khoá bảo mật cho tính năng Xác minh 2 bước Có nhiều phương thức 2SV, bao gồm khoá bảo mật, lời nhắc của Google, Google Authenticator và mã dự phòng. Khoá bảo mật là các thiết bị phần cứng nhỏ được dùng để xác thực yếu tố thứ hai. Khoá bảo mật giúp chống lại các mối đe doạ tấn công giả mạo và là hình thức 2SV an toàn nhất. |
|
|
Không chia sẻ tài khoản quản trị viên cho nhiều người dùng Cấp cho mỗi quản trị viên một tài khoản quản trị viên riêng có thể nhận dạng. Nếu không, chẳng hạn như nếu nhiều người dùng cùng một tài khoản quản trị viên để đăng nhập vào Bảng điều khiển dành cho quản trị viên (ví dụ: admin@example.com), thì bạn sẽ không thể biết quản trị viên nào chịu trách nhiệm cho các hoạt động cụ thể trong nhật ký kiểm tra. |
|
|
Bảo vệ khỏi các cuộc tấn công có chủ đích Bạn có thể áp dụng nhiều đề xuất trong bài viết này cùng một lúc bằng cách đăng ký tài khoản quản trị viên cấp cao và các tài khoản nhạy cảm khác vào Chương trình Bảo vệ nâng cao. |
Quản lý tài khoản quản trị viên cấp cao
|
|
Thiết lập nhiều tài khoản quản trị viên cấp cao Tổ chức của bạn nên có nhiều tài khoản quản trị viên cấp cao, mỗi tài khoản do một cá nhân riêng biệt quản lý (tránh chia sẻ tài khoản quản trị viên). Nếu một tài khoản bị mất hoặc bị xâm nhập, thì một quản trị viên cấp cao khác có thể thực hiện các công việc quan trọng trong khi tài khoản kia được khôi phục. |
|
|
Không sử dụng tài khoản quản trị viên cấp cao cho các hoạt động hằng ngày Cấp cho mỗi quản trị viên cấp cao 2 tài khoản: Tài khoản quản trị viên cấp cao của riêng họ và một tài khoản riêng biệt cho các hoạt động hằng ngày. Người dùng chỉ nên đăng nhập vào tài khoản quản trị viên cấp cao để thực hiện các công việc của quản trị viên cấp cao, chẳng hạn như thiết lập tính năng Xác minh 2 bước (2SV), quản lý hoá đơn và giấy phép người dùng hoặc giúp một quản trị viên khác khôi phục tài khoản của họ. Quản trị viên cấp cao nên sử dụng một tài khoản riêng biệt không phải là tài khoản quản trị viên cho các hoạt động hằng ngày. Ví dụ: nếu Maria và James là quản trị viên cấp cao, thì mỗi người nên có một tài khoản quản trị viên có thể nhận dạng và một tài khoản người dùng, như sau:
|
|
|
Đảm bảo bạn nhận được các thông báo quan trọng dành cho quản trị viên Nếu không thường xuyên đăng nhập bằng tài khoản quản trị viên chính, bạn có thể bỏ lỡ các thông báo quan trọng bắt buộc về dịch vụ của Google. Để đảm bảo bạn nhận được những thông báo này, hãy thiết lập một người liên hệ qua email phụ để gửi những thông báo này đến một tài khoản mà bạn thường xuyên sử dụng. Gửi thông báo về hoá đơn và tài khoản cho một quản trị viên khác |
|
|
Không duy trì trạng thái đăng nhập vào tài khoản quản trị viên cấp cao Việc duy trì trạng thái đăng nhập vào tài khoản quản trị viên cấp cao khi bạn không thực hiện các công việc quản trị cụ thể có thể làm tăng nguy cơ bị tấn công giả mạo. Quản trị viên cấp cao nên đăng nhập khi cần để thực hiện một số công việc, sau đó đăng xuất. |
|
|
Sử dụng tài khoản không phải là quản trị viên cấp cao cho các công việc quản trị hằng ngày Chỉ sử dụng tài khoản quản trị viên cấp cao khi cần. Uỷ quyền các công việc quản trị cho tài khoản người dùng có vai trò quản trị viên hạn chế. Sử dụng phương pháp cấp quyền tối thiểu, trong đó mỗi người dùng có quyền truy cập vào các tài nguyên và công cụ cần thiết cho các công việc thông thường của họ. Ví dụ: bạn có thể cấp cho một quản trị viên quyền quản trị để tạo tài khoản người dùng và đặt lại mật khẩu, nhưng không cho phép họ xoá tài khoản người dùng. |
|
|
Chọn cách quản trị viên cấp cao truy cập lại vào tài khoản của họ Kiểm soát cách quản trị viên cấp cao truy cập vào tài khoản của họ nếu họ quên mật khẩu bằng cách bật hoặc tắt tính năng tự khôi phục tài khoản. Đối với hầu hết khách hàng hiện tại và tất cả khách hàng mới, tính năng khôi phục tài khoản quản trị viên cấp cao được tắt theo mặc định. Nếu bạn là khách hàng hiện tại có ít hơn 3 quản trị viên cấp cao hoặc 500 người dùng, thì chế độ cài đặt này sẽ bật theo mặc định để phù hợp với hành vi trước đó. |
Theo dõi hoạt động trên tài khoản quản trị viên
|
|
Thiết lập cảnh báo qua email cho quản trị viên Theo dõi hoạt động của quản trị viên và theo dõi các rủi ro bảo mật tiềm ẩn bằng cách thiết lập cảnh báo qua email cho quản trị viên đối với một số sự kiện, chẳng hạn như các lần đăng nhập đáng ngờ, thiết bị di động bị xâm nhập hoặc các thay đổi do một quản trị viên khác thực hiện. Khi bạn bật cảnh báo cho một hoạt động, bạn sẽ nhận được email mỗi khi hoạt động đó xảy ra. Cảnh báo qua email cho quản trị viên và quy tắc do hệ thống xác định |
|
|
Xem xét các sự kiện trong nhật ký của quản trị viên Sử dụng dữ liệu sự kiện trong nhật ký để xem nhật ký của mọi công việc được thực hiện trong Bảng điều khiển dành cho quản trị viên của Google, quản trị viên nào đã thực hiện công việc đó, ngày thực hiện và địa chỉ IP mà quản trị viên đã đăng nhập. Hoạt động của quản trị viên cấp cao xuất hiện trong cột Mô tả sự kiện dưới dạng _SEED_ADMIN_ROLE, tiếp theo là tên người dùng. |
Chuẩn bị cho quy trình khôi phục tài khoản quản trị viên
|
|
Thêm các tuỳ chọn khôi phục vào tài khoản quản trị viên Quản trị viên nên thêm các tuỳ chọn khôi phục vào tài khoản quản trị viên của họ. Nếu quên mật khẩu, quản trị viên có thể nhấp vào đường liên kết Cần trợ giúp? trên trang đăng nhập và Google sẽ gửi mật khẩu mới qua điện thoại, tin nhắn văn bản hoặc email. Để làm như vậy, Google cần có số điện thoại khôi phục và địa chỉ email cho tài khoản. Thêm thông tin khôi phục tài khoản vào tài khoản quản trị viên |
|
|
Luôn có sẵn thông tin để đặt lại mật khẩu Nếu tính năng tự khôi phục tài khoản quản trị viên cấp cao được bật, thì những quản trị viên cấp cao đã thêm các tùy chọn khôi phục vào tài khoản của họ có thể đặt lại mật khẩu bằng các tùy chọn khôi phục qua email hoặc điện thoại. Nếu tính năng tự khôi phục tài khoản quản trị viên cấp cao bị tắt và không có quản trị viên cấp cao nào khác để đặt lại mật khẩu, thì những quản trị viên cấp cao cần đặt lại mật khẩu có thể sử dụng trình hướng dẫn khôi phục. Để xác minh danh tính, Google sẽ hỏi các câu hỏi về tài khoản của tổ chức:
Google cũng yêu cầu quản trị viên xác minh quyền sở hữu DNS của miền, vì vậy, quản trị viên cần có thông tin đăng nhập để chỉnh sửa chế độ cài đặt DNS của miền với nhà đăng ký tên miền của họ. Đặt lại mật khẩu quản trị viên – Nếu không có các tuỳ chọn email và điện thoại |
|
|
Đăng ký một khoá bảo mật dự phòng Quản trị viên nên đăng ký nhiều khoá bảo mật cho tài khoản quản trị viên của họ và lưu trữ ở nơi an toàn. Nếu khoá bảo mật chính bị mất hoặc bị đánh cắp, họ vẫn có thể đăng nhập vào tài khoản của mình. |
|
|
Lưu mã dự phòng trước Nếu mất khoá bảo mật hoặc điện thoại (nơi họ nhận được mã xác minh 2SV hoặc lời nhắc của Google), thì quản trị viên có thể sử dụng mã dự phòng để đăng nhập. Quản trị viên nên tạo và in mã dự phòng trong trường hợp cần. Lưu mã dự phòng ở nơi an toàn. |