يُرجى اتّباع أفضل الممارسات هذه لتحسين أمان حسابات المشرفين، وبالتالي تحسين نشاطك التجاري ككل.
للاطّلاع على المزيد من أفضل ممارسات الأمان، يُرجى الاطّلاع على قوائم التحقّق من الأمان.
حماية حسابات المشرفين
|
طلب إجراء "التحقّق بخطوتين" في حسابات المشرفين إذا تمكَّن أحد المستخدمين من الحصول على كلمة مرور المشرف، تساعد ميزة "التحقُّق بخطوتين" (2SV) على حماية الحساب من الدخول غير المصرح به. وعلى المشرفين المُتميِّزين بشكلٍ خاص استخدام "التحقُّق بخطوتين (2SV)" لأن حساباتهم تتحكَّم في الوصول لجميع بيانات الأنشطة التجارية والموظفين في المؤسسة. |
|
|
استخدام مفاتيح الأمان لميزة "التحقّق بخطوتين" تتوفّر عدة طرق لإجراء "التحقّق بخطوتين"، بما في ذلك مفاتيح الأمان و"رسالة المطالبة من Google" وGoogle Authenticator والرموز الاحتياطية. حيث تعتبر مفاتيح الأمان أجهزة صغيرة تُستخدم لعامل المصادقة الثاني. وتساعد على التصدي لتهديدات التصيُّد الاحتيالي وهي الوسيلة الأكثر أمانًا من وسائل "التحقُّق بخطوتين". |
|
|
عدم مشاركة حسابات المشرفين بين المستخدمين امنَح كل مشرف حساب مشرف يكشف عن هويته. بخلاف ذلك، في حال استخدم العديد من المستخدمين حساب المشرف نفسه لتسجيل الدخول إلى "وحدة تحكّم المشرف"، مثل admin@example.com، لن تتمكَّن من تحديد المشرف المسؤول عن أنشطة معيَّنة في سجل التدقيق. |
|
|
الحماية من الهجمات الموجّهة يمكنك تطبيق العديد من الاقتراحات الواردة في هذه المقالة دُفعة واحدة من خلال تسجيل حسابات المشرفين المتميِّزين والحسابات الحسّاسة الأخرى في "برنامج الحماية المتقدِّمة". |
إدارة حسابات المشرفين المتميِّزين
|
|
إعداد حسابات متعددة لمشرفين متميِّزين يجب أن يكون للمؤسسة أكثر من حساب مشرف متميِّز، وأن يدير كل حساب فرد منفصل (تجنب مشاركة حساب المشرف). وفي حال فقدان حساب واحد أو اختراقه، يمكن لمشرف متميِّز آخر أداء المهام بالغة الأهمية إلى يتم استرداد الحساب الآخر. |
|
|
عدم استخدام حساب مشرف متميِّز للأنشطة اليومية امنَح كل مشرف متميِّز حسابين: حساب المشرف المتميز التابع له، وحساب منفصل للأنشطة اليومية. ويجب ألا يسجّل المستخدمون الدخول إلى حساب المشرف المتميِّز إلا لتنفيذ مهام المشرف المتميِّز، مثل ضبط ميزة "التحقُّق بخطوتين (2SV)" أو إدارة الفوترة وتراخيص المستخدمين أو مساعدة مشرف آخر في استرداد حسابه. على المشرفين المتميِّزين استخدام حساب منفصل غير تابع للمشرف لتنفيذ للأنشطة اليومية. على سبيل المثال، في حال كان جمال ومريم مشرفين متميِّزين، يجب أن يكون لديهما حساب مُشرِّف يكشف عن هويتهما وحساب مستخدم، كما يلي:
|
|
|
ضمان تلقّي إشعارات المشرف المهمة إذا كنت لا تسجِّل الدخول عادةً باستخدام حساب المشرف الأساسي، قد تفوتك إشعارات هامة إلزامية عن الخدمة من Google. لضمان تلقّي هذه الإشعارات، عليك ضبط جهة اتصال بريد إلكتروني ثانوية ليتم إرسال هذه الإشعارات إلى حساب تستخدمه بانتظام. |
|
|
عدم البقاء مسجِّلاً الدخول إلى حساب المشرف المتميِّز يمكن أن يزيد الاحتفاظ بتسجيل الدخول إلى حساب المشرف المتميِّز عندما لا تؤدي مهام إدارية مُحدَّدة من خطر التعرض إلى هجمات التصيُّد الاحتيالي. على المشرفين المتميّزين تسجيل الدخول عندما يحتاجون إلى أداء مهام محدّدة، ثم تسجيل الخروج بعد ذلك. |
|
|
استخدام حسابات المشرفين غير المتميِّزين لتنفيذ مهام المشرف اليومية لا تستخدم حساب المشرف المتميِّز إلا عند الحاجة. يمكنك تفويض مهام المشرف إلى حسابات المستخدمين بأدوار مشرف محدودة. ويُفضّل استخدام منهج أقل امتياز، حيث يمكن لكل مستخدم الوصول إلى الموارد والأدوات التي يحتاجها لتنفيذ مهامه المعتادة. يمكنك مثلاً منح مشرف إذن لإنشاء حسابات المستخدمين وإذن لإعادة ضبط كلمات المرور، بدون السماح له بحذف حسابات المستخدمين. |
|
|
اختيار كيفية عودة المشرفين المتميّزين إلى حساباتهم يمكنك التحكّم في كيفية وصول المشرفين المتميّزين إلى حساباتهم في حال نسيان كلمة المرور من خلال تفعيل ميزة "استرداد الحساب ذاتيًا" أو إيقافها. بالنسبة إلى معظم العملاء الحاليين وجميع العملاء الجدد، تكون ميزة "استرداد حساب المشرف المتميّز" متوقفة تلقائيًا. إذا كنت عميلاً حاليًا ولديك أقل من ثلاثة مشرفين متميزين أو 500 مستخدم، يكون الإعداد مفعّلاً تلقائيًا لمطابقة السلوك السابق. |
مراقبة النشاط في حسابات المشرفين
|
|
إعداد تنبيهات البريد الإلكتروني للمشرف يمكن مراقبة نشاط المشرف وتتبُّع المخاطر الأمنية المُحتمَلة من خلال إعداد تنبيهات البريد الإلكتروني للمشرف لأحداث معيَّنة، مثل محاولات تسجيل الدخول المريبة أو تعرُّض أجهزة جوَّالة للاختراق أو إجراء مشرف آخر لتغييرات. عند تفعيل تنبيه لنشاط، ستتلقَّى رسالة إلكترونية في كل مرة يحدث فيها هذا النشاط. |
|
|
مراجعة أحداث سجلّ المشرف يمكنك استخدام بيانات أحداث السجلّ للاطّلاع على سجلّ كل مهمة جرى تنفيذها في "وحدة تحكّم المشرف في Google"، وكذلك المشرف الذي نفَّذ المهمة وتاريخها وعنوان IP الذي سجّل المشرف الدخول به. يظهر نشاط المشرف المتميِّز في عمود وصف الحدث بالشكل _SEED_ADMIN_ROLE متبوعًا باسم المستخدم. |
الاستعداد لاسترداد حساب المشرف
|
|
إضافة خيارات استرداد الحساب إلى حسابات المشرف على المشرفين إضافة خيارات استرداد الحساب لحساب المشرف. في حال نسيان أحد المشرفين كلمة مروره، يمكنه النقر على الرابط هل تحتاج إلى مساعدة؟ في صفحة تسجيل الدخول، وسترسل Google كلمة مرور جديدة عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني. ولإجراء ذلك، تحتاج Google إلى رقم الهاتف المخصّص لاسترداد الحساب وعنوان البريد الإلكتروني للحساب. |
|
|
الاحتفاظ بالمعلومات في مكان يسهل الوصول إليه لإعادة ضبط كلمة المرور في حال تفعيل ميزة "الاسترداد الذاتي لحساب المشرف المتميّز"، يتمكن المشرفين المتميّزين الذين أضافوا خيارات الاسترداد إلى حساباتهم من إعادة ضبط كلمة المرور باستخدام خيارات استرداد الحساب عبر البريد الإلكتروني أو الهاتف. إذا كان خيار "الاسترداد الذاتي لحساب المشرف المتميّز" غير مفعّل ولم يكن هناك مشرف متميّز آخر متاح لإعادة ضبط كلمة المرور، يمكن للمشرفين المتميّزين الذين يحتاجون إلى إعادة ضبط كلمة المرور استخدام معالج الاسترداد. لإثبات الهوية، تطرح Google الأسئلة التالية حول حساب المؤسسة:
تطلب Google أيضًا من المشرف إثبات ملكية "نظام أسماء النطاقات" الخاص بالنطاق، لذا يجب أن تتوفر لدى المشرف بيانات الاعتماد لتعديل إعدادات نظام أسماء النطاقات الخاص بالنطاق باستخدام جهة التسجيل. إعادة ضبط كلمة مرور المشرف، في حال عدم توفُّر خياري البريد الإلكتروني والهاتف |
|
|
تسجيل مفتاح أمان احتياطي على المشرفين تسجيل أكثر من مفتاح أمان لحساب المشرف وتخزينها في مكان آمن. وفي حال فقدان مفتاح الأمان الأساسي أو سرقته، سيظل بإمكانهم تسجيل الدخول إلى حساباتهم. |
|
|
حفظ الرموز الاحتياطية مسبقًا إذا فقد المشرف مفتاح الأمان أو الهاتف (الذي يتلقى عليه رمز التحقُّق بخطوتين (2SV) أو رسالة مطالبة من Google)، يمكنه استخدام رمز احتياطي لتسجيل الدخول. على المشرفين إنشاء رموز احتياطية وطبعها لاستخدامها عند الحاجة. وعليهم حفظ الرموز الاحتياطية في موقع آمن. |