שיטות מומלצות לשמירה על אבטחה של חשבונות אדמינים

כדי לשפר את האבטחה של חשבונות האדמין, ובהמשך גם של העסק כולו, מומלץ לפעול לפי השיטות המומלצות הבאות.

במאמר רשימות משימות בנושא אבטחה יש עוד שיטות מומלצות לשמירה על אבטחת החשבון.

הגנה על חשבונות אדמין

דרישת אימות דו-שלבי לחשבונות אדמין

אם מישהו מצליח להשיג את סיסמת האדמין, האימות הדו-שלבי (2SV) עוזר להגן על החשבון מפני גישה לא מורשית. חשוב במיוחד שסופר-אדמינים ישתמשו באימות דו-שלבי, כי החשבונות שלהם שולטים בגישה לכל הנתונים העסקיים ונתוני העובדים בארגון.

איך מגינים על העסק באמצעות אימות דו-שלבי

איך משתמשים במפתחות אבטחה לאימות דו-שלבי

יש כמה שיטות לאימות דו-שלבי, כולל מפתחות אבטחה, הודעה מ-Google, מאמת החשבונות של Google וקודי גיבוי. מפתחות אבטחה הם מכשירי חומרה קטנים שמשמשים לאימות דו-שלבי. הם עוזרים להתמודד עם איומי פישינג והם השיטה הכי מאובטחת לאימות דו-שלבי.

מפתחות אבטחה

לא לשתף חשבונות אדמין בין משתמשים

לכל אדמין צריך להיות חשבון אדמין משלו שאפשר לזהות אותו. אחרת, אם כמה אנשים משתמשים באותו חשבון אדמין כדי להיכנס למסוף Admin, כמו admin@example.com, לא תוכלו לדעת איזה אדמין אחראי לפעילויות ספציפיות ביומן הביקורת.

הגנה מפני מתקפות ממוקדות

אפשר ליישם הרבה מההמלצות במאמר הזה בבת אחת על ידי רישום חשבונות סופר-אדמין וחשבונות רגישים אחרים לתוכנית ההגנה המתקדמת.

הגנה על משתמשים באמצעות תוכנית ההגנה המתקדמת

ניהול חשבונות סופר-אדמין

הגדרה של כמה חשבונות סופר-אדמין

בארגון צריך להיות יותר מחשבון סופר-אדמין אחד, וכל אחד מהם צריך להיות מנוהל על ידי משתמש אחר (לא מומלץ לשתף חשבון אדמין). אם חשבון אחד אבד או נפרץ, סופר-אדמין אחר יכול לבצע משימות קריטיות בזמן השחזור של החשבון השני.

לא משתמשים בחשבון סופר-אדמין לפעילויות יומיומיות

לכל סופר-אדמין צריך להיות שני חשבונות: חשבון סופר-אדמין משלו וחשבון נפרד לפעילויות יומיומיות. משתמשים צריכים להיכנס לחשבון סופר-אדמין רק כדי לבצע משימות של סופר-אדמין, כמו הגדרת אימות דו-שלבי (2SV), ניהול חיובים ורישיונות משתמשים או עזרה לאדמין אחר לשחזר את החשבון שלו.

סופר-אדמינים צריכים להשתמש בחשבון נפרד שאינו חשבון אדמין לפעילויות יומיומיות.

לדוגמה, אם מריה וג'יימס הם סופר-אדמינים, לכל אחד מהם צריך להיות חשבון אדמין אחד שניתן לזיהוי וחשבון משתמש אחד, באופן הבא:

  • admin-maria@example.com, maria@example.com
  • admin-james@example.com, james@example.com

איך מוודאים שמקבלים הודעות חשובות לאדמינים

אם אתם לא נכנסים לעיתים קרובות לחשבון האדמין הראשי, יכול להיות שתפספסו הודעות חשובות מ-Google על שינויים בשירותים. כדי לוודא שתקבלו את ההודעות האלה, כדאי להגדיר איש קשר להודעות אימייל, כדי שההודעות יישלחו לחשבון שבו אתם משתמשים באופן קבוע.

איך לשלוח התראות על חיובים וחשבונות לאדמין אחר

לא כדאי להישאר מחוברים לחשבון סופר-אדמין

חיבור לחשבון סופר-אדמין כשלא צריך לבצע משימות ניהוליות ספציפיות, יכול להגדיל את החשיפה להתקפות פישינג. סופר-אדמינים צריכים להיכנס לחשבון שלהם לפי הצורך כדי לבצע משימות ספציפיות ואז לצאת מהחשבון.

שימוש בחשבונות שאין להם הרשאות סופר-אדמין למשימות ניהול יומיות

משתמשים בחשבון סופר-אדמין רק כשצריך. מעבירים משימות אדמין לחשבונות משתמשים עם תפקידי אדמין מוגבלים. משתמשים בגישה של הרשאה מינימלית, שבה לכל משתמש יש גישה למשאבים ולכלים שדרושים לו למשימות הרגילות שלו. לדוגמה, אפשר לתת לאדמין הרשאות ליצור חשבונות משתמשים ולאפס סיסמאות, אבל לא לאפשר לו למחוק חשבונות משתמשים.

מידע על תפקידי האדמין

איך סופר-אדמינים יכולים לחזור לחשבון שלהם

אתם יכולים להפעיל או להשבית את האפשרות לשחזור עצמי של החשבון כדי לקבוע איך סופר-אדמינים יכולים לגשת לחשבונות שלהם אם הם שכחו את הסיסמה. אצל רוב הלקוחות הנוכחיים וכל הלקוחות החדשים, האפשרות לשחזור עצמי של חשבון סופר-אדמין מושבתת כברירת מחדל. אם אתם לקוחות קיימים עם פחות מ-3 סופר-אדמינים או 500 משתמשים, ההגדרה מופעלת כברירת מחדל, בהתאם להתנהגות הקודמת.

איך סופר-אדמינים יכולים לשחזר את הסיסמאות שלהם באופן עצמאי

מעקב אחרי הפעילות בחשבונות אדמין

הגדרת התראות באימייל לאדמינים

כדי לעקוב אחרי פעילות האדמין ולזהות סיכוני אבטחה פוטנציאליים, אפשר להגדיר התראות באימייל לאדמין לגבי אירועים מסוימים, כמו ניסיונות כניסה חשודים, מכשירים ניידים שנפרצו או שינויים שבוצעו על ידי אדמין אחר.

כשמפעילים התראה של פעילות מסוימת, מקבלים אימייל בכל פעם שפעילות כזו מתרחשת.

התראות באימייל לאדמינים וכללים שהוגדרו על ידי המערכת

בדיקת אירועים ביומן האדמין

אפשר להשתמש בנתוני אירועים ביומן כדי לראות את ההיסטוריה של כל משימה שבוצעה במסוף Google Admin, מי האדמין שביצע את המשימה, התאריך וכתובת ה-IP שממנה האדמין נכנס.

פעילות של אדמין על מופיעה בעמודה תיאור האירוע בתור _SEED_ADMIN_ROLE, ואחריה שם המשתמש.

אירועי אדמין ביומן

הכנה לשחזור חשבון אדמין

הוספת אפשרויות שחזור לחשבונות אדמין

אדמינים צריכים להוסיף אפשרויות שחזור לחשבון האדמין שלהם.

אם אדמין שוכח את הסיסמה שלו, הוא יכול ללחוץ על הקישור זקוק לעזרה? בדף הכניסה, ו-Google תשלח סיסמה חדשה בטלפון, בהודעת טקסט או באימייל. לשם כך, Google צריכה מספר טלפון לשחזור חשבון וכתובת אימייל לשחזור החשבון.

הוספת פרטי שחזור לחשבון האדמין

שמירת מידע לאיפוס סיסמה

אם מופעל שחזור עצמאי של חשבון סופר-אדמין, סופר-אדמינים שהוסיפו אפשרויות שחזור לחשבון שלהם יכולים לאפס את הסיסמה באמצעות אפשרויות שחזור באימייל או בטלפון. 

אם השבתתם את האפשרות לשחזור עצמי של חשבון סופר-אדמין ואין סופר-אדמין אחר שיכול לאפס את הסיסמה, סופר-אדמינים שצריכים לאפס את הסיסמה יכולים להשתמש באשף השחזור.

כדי לאמת את הזהות, Google שואלת שאלות לגבי החשבון של הארגון:

  • התאריך שבו נוצר החשבון.
  • כתובת האימייל המשנית המקורית שמשויכת לחשבון (האימייל ששימש להרשמה).
  • מספר ההזמנה ב-Google שמשויך לחשבון (אם רלוונטי).
  • מספר חשבונות המשתמשים שנוצרו.
  • הכתובת לחיוב שמקושרת לחשבון.
  • סוג כרטיס האשראי שבו השתמשתם ו-4 הספרות האחרונות שלו.

בנוסף, Google מבקשת מהאדמין לאמת את הבעלות על ה-DNS של הדומיין, ולכן האדמין צריך את פרטי הכניסה כדי לערוך את הגדרות ה-DNS של הדומיין אצל הרשם.

איפוס סיסמת האדמין – אם אפשרויות האימייל והטלפון לא זמינות

רישום של מפתח אבטחה נוסף

אדמינים צריכים לרשום יותר ממפתח אבטחה אחד לחשבון האדמין שלהם ולאחסן אותו במקום בטוח. אם מפתח האבטחה הראשי שלהם אבד או נגנב, הם עדיין יכולים להיכנס לחשבון שלהם.

הוספה של מפתח אבטחה לחשבון

שמירת קודי גיבוי מראש

אם אדמין מאבד את מפתח האבטחה או את הטלפון (שבו הוא מקבל קוד אימות דו-שלבי או הודעה מ-Google), הוא יכול להשתמש בקוד גיבוי כדי להיכנס לחשבון.

אדמינים צריכים ליצור ולהדפיס קודי גיבוי למקרה שיידרשו. חשוב לשמור את קודי הגיבוי במקום בטוח.

יצירה והדפסה של קודי גיבוי