שיטות מומלצות לשמירה על אבטחה של חשבונות אדמינים

דרישת אימות דו-שלבי לחשבונות אדמין

אם מישהו מצליח להשיג את סיסמת האדמין, אימות דו-שלבי (2SV) עוזר להגן על החשבון מפני גישה לא מורשית. חשוב במיוחד שסופר-אדמינים ישתמשו באימות דו-שלבי, כי החשבונות שלהם שולטים בגישה לכל הנתונים של העסקים והעובדים בארגון.

איך מגינים על העסק באמצעות אימות דו-שלבי

איך משתמשים במפתחות אבטחה לאימות דו-שלבי

יש כמה שיטות לאימות דו-שלבי, כולל מפתחות אבטחה, הודעה מ-Google, מאמת החשבונות של Google וקודי גיבוי. מפתחות אבטחה הם מכשירי חומרה קטנים שמשמשים לאימות דו-שלבי. הם עוזרים להתגונן מפני איומי פישינג והם הצורה המאובטחת ביותר של אימות דו-שלבי.

מפתחות אבטחה

לא לשתף חשבונות אדמין בין משתמשים

לכל אדמין צריך להיות חשבון אדמין משלו שאפשר לזהות אותו. אחרת, אם כמה אנשים משתמשים באותו חשבון אדמין כדי להיכנס למסוף Admin, כמו admin@example.com, לא תוכלו לדעת איזה אדמין אחראי לפעילויות ספציפיות ביומן הביקורת.

הגנה מפני מתקפות ממוקדות

אפשר ליישם הרבה מההמלצות במאמר הזה בבת אחת על ידי רישום חשבונות סופר-אדמין וחשבונות רגישים אחרים לתוכנית ההגנה המתקדמת.

הגנה על משתמשים באמצעות תוכנית ההגנה המתקדמת

הגדרה של כמה חשבונות סופר-אדמין

בארגון צריך להיות יותר מחשבון סופר-אדמין אחד, וכל אחד מהם צריך להיות מנוהל על ידי משתמש אחר (לא מומלץ לשתף חשבון אדמין). אם חשבון אחד אבד או נפרץ, סופר-אדמין אחר יכול לבצע משימות קריטיות בזמן השחזור של החשבון השני.

לא משתמשים בחשבון סופר-אדמין לפעילויות יומיומיות

לכל סופר-אדמין צריך להיות 2 חשבונות: חשבון סופר-אדמין משלו וחשבון נפרד לפעילויות יומיומיות. המשתמשים צריכים להיכנס לחשבון סופר-אדמין רק כדי לבצע משימות של סופר-אדמין, כמו הגדרת אימות דו-שלבי (2SV), ניהול חיובים ורישיונות משתמשים או עזרה לאדמין אחר לשחזר את החשבון שלו.

סופר-אדמינים צריכים להשתמש בחשבון נפרד שאינו חשבון אדמין לפעילויות יומיומיות.

לדוגמה, אם מריה וג'יימס הם סופר-אדמינים, לכל אחד מהם צריך להיות חשבון אדמין אחד שניתן לזיהוי וחשבון משתמש אחד, באופן הבא:

• admin-maria@example.com, maria@example.com
• admin-james@example.com, james@example.com

איך מוודאים שמקבלים הודעות חשובות לאדמינים

אם אתם לא נכנסים לעיתים קרובות לחשבון האדמין הראשי שלכם, יכול להיות שתפספסו הודעות חשובות מ-Google על שירותים שחובה להשתמש בהם. כדי לוודא שתקבלו את ההודעות האלה, כדאי להגדיר כתובת אימייל משנית לאיש קשר, כדי שההודעות יישלחו לחשבון שאתם משתמשים בו באופן קבוע.

איך לשלוח התראות על חיובים וחשבונות לאדמין אחר

לא כדאי להישאר מחוברים לחשבון סופר-אדמין

חיבור לחשבון סופר-אדמין כשלא צריך לבצע משימות ניהוליות ספציפיות, יכול להגדיל את החשיפה להתקפות פישינג. סופר-אדמינים צריכים להיכנס לחשבון שלהם לפי הצורך כדי לבצע משימות ספציפיות ואז לצאת מהחשבון.

שימוש בחשבונות שלא שייכים לסופר-אדמינים למשימות אדמין יומיות

כדאי להשתמש בחשבון סופר-אדמין רק כשצריך. האצלת משימות אדמין לחשבונות משתמשים עם תפקידי אדמין מוגבלים. להשתמש בגישה של הרשאות מינימליות, שבה לכל משתמש יש גישה למשאבים ולכלים שדרושים לו למשימות הרגילות שלו. לדוגמה, אפשר לתת לאדמין הרשאות ליצור חשבונות משתמשים ולאפס סיסמאות, אבל לא לאפשר לו למחוק חשבונות משתמשים.

מידע על תפקידי האדמין

איך סופר-אדמינים יכולים לחזור לחשבון שלהם

כדי לשלוט באופן שבו סופר-אדמינים ניגשים לחשבונות שלהם אם הם שכחו את הסיסמה, אפשר להפעיל או להשבית את האפשרות לשחזור עצמי של החשבון. אצל רוב הלקוחות הנוכחיים וכל הלקוחות החדשים, האפשרות לשחזור חשבון של סופר-אדמין מושבתת כברירת מחדל. אם אתם לקוחות קיימים עם פחות מ-3 סופר-אדמינים או 500 משתמשים, ההגדרה מופעלת כברירת מחדל, כדי להתאים להתנהגות הקודמת.

סופר-אדמינים יוכלו לשחזר את הסיסמה שלהם

הגדרת התראות באימייל לאדמינים

כדי לעקוב אחרי פעילות האדמינים ולזהות סיכוני אבטחה פוטנציאליים, אפשר להגדיר התראות באימייל לאדמינים לגבי אירועים מסוימים, כמו ניסיונות כניסה חשודים, מכשירים ניידים שנפרצו או שינויים שבוצעו על ידי אדמין אחר.

כשמפעילים התראה של פעילות מסוימת, מקבלים אימייל בכל פעם שפעילות כזו מתרחשת.

התראות באימייל לאדמינים וכללים שמוגדרים על ידי המערכת

בדיקת אירועים ביומן האדמין

אפשר להשתמש בנתוני אירועים ביומן כדי לראות את ההיסטוריה של כל משימה שבוצעה במסוף Google Admin, מי האדמין שביצע את המשימה, התאריך וכתובת ה-IP שממנה האדמין נכנס.

פעילות של אדמין על מופיעה בעמודה תיאור האירוע בתור _SEED_ADMIN_ROLE, ואחריה שם המשתמש.

אירועים ביומן של אדמין

הוספת אפשרויות שחזור לחשבונות אדמין

אדמינים צריכים להוסיף אפשרויות שחזור לחשבון האדמין שלהם.

אם אדמין שוכח את הסיסמה שלו, הוא יכול ללחוץ על הקישור זקוק לעזרה? בדף הכניסה, ו-Google תשלח סיסמה חדשה בטלפון, בהודעת טקסט או באימייל. לשם כך, Google צריכה מספר טלפון וכתובת אימייל לשחזור החשבון.

הוספת פרטי שחזור לחשבון האדמין

שמירת מידע לאיפוס סיסמה

אם השחזור העצמאי של חשבון סופר-אדמין מופעל, סופר-אדמינים שהוסיפו אפשרויות שחזור לחשבונות שלהם יכולים לאפס את הסיסמה באמצעות אפשרויות שחזור באימייל או בטלפון. 

אם השבתתם את האפשרות לשחזור עצמי של חשבון סופר-אדמין ואין סופר-אדמין אחר שיכול לאפס את הסיסמה, סופר-אדמינים שצריכים לאפס את הסיסמה יכולים להשתמש באשף השחזור.

כדי לאמת את הזהות, Google שואלת שאלות לגבי החשבון של הארגון:

• התאריך שבו נוצר החשבון.
• כתובת האימייל המשנית המקורית שמשויכת לחשבון (האימייל ששימש להרשמה).
• מספר ההזמנה ב-Google שמשויך לחשבון (אם רלוונטי).
• מספר חשבונות המשתמשים שנוצרו.
• הכתובת לחיוב שמקושרת לחשבון.
• סוג כרטיס האשראי שבו השתמשתם ו-4 הספרות האחרונות שלו.

בנוסף, Google מבקשת מהאדמין לאמת את הבעלות על ה-DNS של הדומיין, ולכן האדמין צריך את פרטי הכניסה כדי לערוך את הגדרות ה-DNS של הדומיין אצל הרשם.

איפוס סיסמת האדמין – אם אפשרויות האימייל והטלפון לא זמינות

רישום של מפתח אבטחה נוסף

אדמינים צריכים לרשום יותר ממפתח אבטחה אחד לחשבון האדמין שלהם ולאחסן אותו במקום בטוח. אם מפתח האבטחה הראשי שלהם אבד או נגנב, הם עדיין יכולים להיכנס לחשבון שלהם.

הוספתם מפתח אבטחה לחשבון

שמירת קודי גיבוי מראש

אם אדמין מאבד את מפתח האבטחה או את הטלפון (שבו הוא מקבל קוד אימות ל-2SV או הנחיה של Google), הוא יכול להשתמש בקוד גיבוי כדי להיכנס לחשבון.

אדמינים צריכים ליצור ולהדפיס קודי גיבוי למקרה שיהיה בהם צורך. חשוב לשמור את קודי הגיבוי במקום בטוח.

יצירה והדפסה של קודי גיבוי