Рекомендации по обеспечению безопасности учетных записей администраторов.

Для административных учетных записей требуется двухфакторная аутентификация.

Если кому-то удастся получить пароль администратора, двухфакторная аутентификация (2SV) поможет защитить учетную запись от несанкционированного доступа. Использование 2SV особенно важно для суперадминистраторов, поскольку их учетные записи контролируют доступ ко всем корпоративным и кадровым данным в организации.

Защитите свой бизнес с помощью двухфакторной аутентификации.

Используйте ключи безопасности для двухфакторной аутентификации.

Существует несколько методов двухфакторной аутентификации, включая ключи безопасности, запрос Google, Google Authenticator и резервные коды. Ключи безопасности — это небольшие аппаратные устройства, используемые для двухфакторной аутентификации. Они помогают противостоять фишинговым угрозам и являются наиболее безопасной формой двухфакторной аутентификации.

ключи безопасности

Не используйте одни и те же учетные записи администратора для разных пользователей.

Предоставьте каждому администратору собственную идентифицируемую учетную запись администратора. В противном случае, если несколько человек используют одну и ту же учетную запись администратора для входа в консоль администратора, например, admin@example.com, вы не сможете определить, какой администратор отвечает за конкретные действия в журнале аудита.

Защита от целенаправленных атак

Многие из рекомендаций, изложенных в этой статье, можно применить одновременно, зарегистрировав учетные записи суперадминистраторов и другие конфиденциальные учетные записи в программе расширенной защиты.

Защитите пользователей с помощью программы расширенной защиты.

Создайте несколько учетных записей суперадминистратора.

В вашей организации должно быть более одной учетной записи суперадминистратора, каждая из которых управляется отдельным лицом (избегайте использования одной учетной записи администратора). Если одна учетная запись будет потеряна или скомпрометирована, другой суперадминистратор сможет выполнять важные задачи, пока восстанавливается другая учетная запись.

Не используйте учетную запись суперадминистратора для повседневных задач.

Каждому суперадминистратору следует предоставить две учетные записи: собственную учетную запись суперадминистратора и отдельную учетную запись для повседневной работы. Пользователи должны входить в учетную запись суперадминистратора только для выполнения задач суперадминистратора , таких как настройка двухфакторной аутентификации (2SV), управление выставлением счетов и лицензиями пользователей или помощь другому администратору в восстановлении его учетной записи.

Суперадминистраторы должны использовать отдельную учетную запись, не являющуюся административной, для повседневной работы.

Например, если Мария и Джеймс являются суперадминистраторами, у каждого из них должна быть одна идентифицируемая учетная запись администратора и одна учетная запись пользователя, следующим образом:

• admin-maria@example.com, maria@example.com
• admin-james@example.com, james@example.com

Убедитесь, что вы получаете важные объявления от администрации.

Если вы редко входите в систему под своей основной учетной записью администратора, вы можете пропустить важные обязательные служебные уведомления от Google. Чтобы гарантировать получение этих уведомлений, настройте дополнительный адрес электронной почты для отправки этих уведомлений на учетную запись, которую вы регулярно используете.

Отправляйте уведомления о выставлении счетов и состоянии учетной записи другому администратору.

Не оставайтесь в системе под учетной записью суперадминистратора.

Постоянное нахождение в учетной записи суперадминистратора, когда вы не выполняете определенные административные задачи, может повысить риск фишинговых атак. Суперадминистраторы должны входить в систему по мере необходимости для выполнения конкретных задач, а затем выходить из нее.

Для выполнения повседневных административных задач используйте учетные записи, не являющиеся учетными записями суперадминистраторов.

Используйте учетную запись суперадминистратора только при необходимости. Делегируйте административные задачи учетным записям пользователей с ограниченными административными правами. Используйте подход минимальных привилегий, при котором каждый пользователь имеет доступ к ресурсам и инструментам, необходимым для выполнения своих типичных задач. Например, вы можете предоставить администратору права на создание учетных записей пользователей и сброс паролей, но не разрешать ему удалять учетные записи пользователей.

О ролях администратора

Выберите способ восстановления доступа суперадминистраторов к своим учетным записям.

Управляйте доступом суперадминистраторов к своим учетным записям в случае, если они забудут пароль, включив или выключив функцию самостоятельного восстановления учетной записи. Для большинства существующих и всех новых клиентов функция восстановления учетной записи суперадминистратора по умолчанию отключена . Если вы являетесь существующим клиентом с менее чем 3 суперадминистраторами или 500 пользователями, эта настройка включена по умолчанию , как и раньше.

Предоставьте суперадминистраторам возможность восстанавливать свои пароли.

Настройте оповещения по электронной почте для администратора.

Отслеживайте активность администратора и потенциальные риски безопасности, настроив оповещения по электронной почте для администратора о определенных событиях, таких как подозрительные попытки входа в систему, взломанные мобильные устройства или изменения, внесенные другим администратором.

При включении оповещений о каком-либо событии вы будете получать электронное письмо каждый раз, когда это событие произойдет.

Административные оповещения по электронной почте и правила, определяемые системой.

Просмотрите события журнала администратора.

Используйте данные событий журнала, чтобы просмотреть историю всех задач, выполненных в консоли администратора Google, с указанием того, какой администратор выполнил задачу, даты и IP-адреса, с которого администратор вошел в систему.

Действия суперадминистратора отображаются в столбце «Описание события» как _SEED_ADMIN_ROLE , за которым следует имя пользователя.

События журнала администратора

Добавить параметры восстановления для учетных записей администратора

Администраторы должны добавить параметры восстановления в свою учетную запись администратора.

Если администратор забудет свой пароль, он может нажать на ссылку « Нужна помощь?» на странице входа в систему, и Google отправит новый пароль по телефону, SMS или электронной почте. Для этого Google потребуется номер телефона для восстановления доступа и адрес электронной почты для этой учетной записи.

Добавьте информацию для восстановления учетной записи в свою учетную запись администратора.

Держите под рукой информацию для сброса пароля.

Если включена функция самостоятельного восстановления учетной записи суперадминистратора, суперадминистраторы, добавившие параметры восстановления к своим учетным записям, могут сбросить свой пароль, используя электронную почту или телефон.

Если функция самовосстановления учетной записи суперадминистратора отключена, и другой суперадминистратор недоступен для сброса пароля, суперадминистраторы, которым необходимо сбросить свой пароль, могут использовать мастер восстановления.

Для подтверждения личности Google задает вопросы об учетной записи организации:

• Дата создания учетной записи.
• Исходный дополнительный адрес электронной почты, связанный с учетной записью (адрес электронной почты, использованный при регистрации).
• Номер заказа Google, связанный с учетной записью (если применимо).
• Количество созданных учетных записей пользователей.
• Платежный адрес, привязанный к учетной записи.
• Тип используемой кредитной карты и её последние 4 цифры.

Google также запрашивает у администратора подтверждение права собственности на DNS-сервер домена, поэтому администратору необходимы учетные данные для редактирования настроек DNS домена у своего регистратора.

Сбросьте пароль администратора, если электронная почта и телефон недоступны.

Зарегистрируйте запасной ключ безопасности

Администраторам следует зарегистрировать несколько ключей безопасности для своей учетной записи и хранить их в безопасном месте. В случае утери или кражи основного ключа безопасности они все равно смогут войти в свою учетную запись.

Добавьте ключ безопасности к своему аккаунту.

Сохраните резервные коды заранее.

Если администратор потеряет свой ключ безопасности или телефон (на который он получает код подтверждения 2SV или запрос от Google), он может использовать резервный код для входа в систему.

Администраторы должны генерировать и распечатывать резервные коды на случай необходимости. Резервные коды следует хранить в безопасном месте.

Сгенерировать и распечатать резервные коды

Для административных учетных записей требуется двухфакторная аутентификация.

Если кому-то удастся получить пароль администратора, двухфакторная аутентификация (2SV) поможет защитить учетную запись от несанкционированного доступа. Использование 2SV особенно важно для суперадминистраторов, поскольку их учетные записи контролируют доступ ко всем корпоративным и кадровым данным в организации.

Защитите свой бизнес с помощью двухфакторной аутентификации.

Используйте ключи безопасности для двухфакторной аутентификации.

Существует несколько методов двухфакторной аутентификации, включая ключи безопасности, запрос Google, Google Authenticator и резервные коды. Ключи безопасности — это небольшие аппаратные устройства, используемые для двухфакторной аутентификации. Они помогают противостоять фишинговым угрозам и являются наиболее безопасной формой двухфакторной аутентификации.

ключи безопасности

Не используйте одни и те же учетные записи администратора для разных пользователей.

Предоставьте каждому администратору собственную идентифицируемую учетную запись администратора. В противном случае, если несколько человек используют одну и ту же учетную запись администратора для входа в консоль администратора, например, admin@example.com, вы не сможете определить, какой администратор отвечает за конкретные действия в журнале аудита.

Защита от целенаправленных атак

Многие из рекомендаций, изложенных в этой статье, можно применить одновременно, зарегистрировав учетные записи суперадминистраторов и другие конфиденциальные учетные записи в программе расширенной защиты.

Защитите пользователей с помощью программы расширенной защиты.

Создайте несколько учетных записей суперадминистратора.

В вашей организации должно быть более одной учетной записи суперадминистратора, каждая из которых управляется отдельным лицом (избегайте использования одной учетной записи администратора). Если одна учетная запись будет потеряна или скомпрометирована, другой суперадминистратор сможет выполнять важные задачи, пока восстанавливается другая учетная запись.

Не используйте учетную запись суперадминистратора для повседневных задач.

Каждому суперадминистратору следует предоставить две учетные записи: собственную учетную запись суперадминистратора и отдельную учетную запись для повседневной работы. Пользователи должны входить в учетную запись суперадминистратора только для выполнения задач суперадминистратора , таких как настройка двухфакторной аутентификации (2SV), управление выставлением счетов и лицензиями пользователей или помощь другому администратору в восстановлении его учетной записи.

Суперадминистраторы должны использовать отдельную учетную запись, не являющуюся административной, для повседневной работы.

Например, если Мария и Джеймс являются суперадминистраторами, у каждого из них должна быть одна идентифицируемая учетная запись администратора и одна учетная запись пользователя, следующим образом:

• admin-maria@example.com, maria@example.com
• admin-james@example.com, james@example.com

Убедитесь, что вы получаете важные объявления от администрации.

Если вы редко входите в систему под своей основной учетной записью администратора, вы можете пропустить важные обязательные служебные уведомления от Google. Чтобы гарантировать получение этих уведомлений, настройте дополнительный адрес электронной почты для отправки этих уведомлений на учетную запись, которую вы регулярно используете.

Отправляйте уведомления о выставлении счетов и состоянии учетной записи другому администратору.

Не оставайтесь в системе под учетной записью суперадминистратора.

Постоянное нахождение в учетной записи суперадминистратора, когда вы не выполняете определенные административные задачи, может повысить риск фишинговых атак. Суперадминистраторы должны входить в систему по мере необходимости для выполнения конкретных задач, а затем выходить из нее.

Для выполнения повседневных административных задач используйте учетные записи, не являющиеся учетными записями суперадминистраторов.

Используйте учетную запись суперадминистратора только при необходимости. Делегируйте административные задачи учетным записям пользователей с ограниченными административными правами. Используйте подход минимальных привилегий, при котором каждый пользователь имеет доступ к ресурсам и инструментам, необходимым для выполнения своих типичных задач. Например, вы можете предоставить администратору права на создание учетных записей пользователей и сброс паролей, но не разрешать ему удалять учетные записи пользователей.

О ролях администратора

Выберите способ восстановления доступа суперадминистраторов к своим учетным записям.

Управляйте доступом суперадминистраторов к своим учетным записям в случае, если они забудут пароль, включив или выключив функцию самостоятельного восстановления учетной записи. Для большинства существующих и всех новых клиентов функция восстановления учетной записи суперадминистратора по умолчанию отключена . Если вы являетесь существующим клиентом с менее чем 3 суперадминистраторами или 500 пользователями, эта настройка включена по умолчанию , как и раньше.

Предоставьте суперадминистраторам возможность восстанавливать свои пароли.

Настройте оповещения по электронной почте для администратора.

Отслеживайте активность администратора и потенциальные риски безопасности, настроив оповещения по электронной почте для администратора о определенных событиях, таких как подозрительные попытки входа в систему, взломанные мобильные устройства или изменения, внесенные другим администратором.

При включении оповещений о каком-либо событии вы будете получать электронное письмо каждый раз, когда это событие произойдет.

Административные оповещения по электронной почте и правила, определяемые системой.

Просмотрите события журнала администратора.

Используйте данные событий журнала, чтобы просмотреть историю всех задач, выполненных в консоли администратора Google, с указанием того, какой администратор выполнил задачу, даты и IP-адреса, с которого администратор вошел в систему.

Действия суперадминистратора отображаются в столбце «Описание события» как _SEED_ADMIN_ROLE , за которым следует имя пользователя.

События журнала администратора

Добавить параметры восстановления для учетных записей администратора

Администраторы должны добавить параметры восстановления в свою учетную запись администратора.

Если администратор забудет свой пароль, он может нажать на ссылку « Нужна помощь?» на странице входа в систему, и Google отправит новый пароль по телефону, SMS или электронной почте. Для этого Google потребуется номер телефона для восстановления доступа и адрес электронной почты для этой учетной записи.

Добавьте информацию для восстановления учетной записи в свою учетную запись администратора.

Держите под рукой информацию для сброса пароля.

Если включена функция самостоятельного восстановления учетной записи суперадминистратора, суперадминистраторы, добавившие параметры восстановления к своим учетным записям, могут сбросить свой пароль, используя электронную почту или телефон.

Если функция самовосстановления учетной записи суперадминистратора отключена, и другой суперадминистратор недоступен для сброса пароля, суперадминистраторы, которым необходимо сбросить свой пароль, могут использовать мастер восстановления.

Для подтверждения личности Google задает вопросы об учетной записи организации:

• Дата создания учетной записи.
• Исходный дополнительный адрес электронной почты, связанный с учетной записью (адрес электронной почты, использованный при регистрации).
• Номер заказа Google, связанный с учетной записью (если применимо).
• Количество созданных учетных записей пользователей.
• Платежный адрес, привязанный к учетной записи.
• Тип используемой кредитной карты и её последние 4 цифры.

Google также запрашивает у администратора подтверждение права собственности на DNS-сервер домена, поэтому администратору необходимы учетные данные для редактирования настроек DNS домена у своего регистратора.

Сбросьте пароль администратора, если электронная почта и телефон недоступны.

Зарегистрируйте запасной ключ безопасности

Администраторам следует зарегистрировать несколько ключей безопасности для своей учетной записи и хранить их в безопасном месте. В случае утери или кражи основного ключа безопасности они все равно смогут войти в свою учетную запись.

Добавьте ключ безопасности к своему аккаунту.

Сохраните резервные коды заранее.

Если администратор потеряет свой ключ безопасности или телефон (на который он получает код подтверждения 2SV или запрос от Google), он может использовать резервный код для входа в систему.

Администраторы должны генерировать и распечатывать резервные коды на случай необходимости. Резервные коды следует хранить в безопасном месте.

Сгенерировать и распечатать резервные коды

Для административных учетных записей требуется двухфакторная аутентификация.

Если кому-то удастся получить пароль администратора, двухфакторная аутентификация (2SV) поможет защитить учетную запись от несанкционированного доступа. Использование 2SV особенно важно для суперадминистраторов, поскольку их учетные записи контролируют доступ ко всем корпоративным и кадровым данным в организации.

Защитите свой бизнес с помощью двухфакторной аутентификации.

Используйте ключи безопасности для двухфакторной аутентификации.

Существует несколько методов двухфакторной аутентификации, включая ключи безопасности, запрос Google, Google Authenticator и резервные коды. Ключи безопасности — это небольшие аппаратные устройства, используемые для двухфакторной аутентификации. Они помогают противостоять фишинговым угрозам и являются наиболее безопасной формой двухфакторной аутентификации.

ключи безопасности

Не используйте одни и те же учетные записи администратора для разных пользователей.

Предоставьте каждому администратору собственную идентифицируемую учетную запись администратора. В противном случае, если несколько человек используют одну и ту же учетную запись администратора для входа в консоль администратора, например, admin@example.com, вы не сможете определить, какой администратор отвечает за конкретные действия в журнале аудита.

Защита от целенаправленных атак

Многие из рекомендаций, изложенных в этой статье, можно применить одновременно, зарегистрировав учетные записи суперадминистраторов и другие конфиденциальные учетные записи в программе расширенной защиты.

Защитите пользователей с помощью программы расширенной защиты.

Создайте несколько учетных записей суперадминистратора.

В вашей организации должно быть более одной учетной записи суперадминистратора, каждая из которых управляется отдельным лицом (избегайте использования одной учетной записи администратора). Если одна учетная запись будет потеряна или скомпрометирована, другой суперадминистратор сможет выполнять важные задачи, пока восстанавливается другая учетная запись.

Не используйте учетную запись суперадминистратора для повседневных задач.

Каждому суперадминистратору следует предоставить две учетные записи: собственную учетную запись суперадминистратора и отдельную учетную запись для повседневной работы. Пользователи должны входить в учетную запись суперадминистратора только для выполнения задач суперадминистратора , таких как настройка двухфакторной аутентификации (2SV), управление выставлением счетов и лицензиями пользователей или помощь другому администратору в восстановлении его учетной записи.

Суперадминистраторы должны использовать отдельную учетную запись, не являющуюся административной, для повседневной работы.

Например, если Мария и Джеймс являются суперадминистраторами, у каждого из них должна быть одна идентифицируемая учетная запись администратора и одна учетная запись пользователя, следующим образом:

• admin-maria@example.com, maria@example.com
• admin-james@example.com, james@example.com

Убедитесь, что вы получаете важные объявления от администрации.

Если вы редко входите в систему под своей основной учетной записью администратора, вы можете пропустить важные обязательные служебные уведомления от Google. Чтобы гарантировать получение этих уведомлений, настройте дополнительный адрес электронной почты для отправки этих уведомлений на учетную запись, которую вы регулярно используете.

Отправляйте уведомления о выставлении счетов и состоянии учетной записи другому администратору.

Не оставайтесь в системе под учетной записью суперадминистратора.

Постоянное нахождение в учетной записи суперадминистратора, когда вы не выполняете определенные административные задачи, может повысить риск фишинговых атак. Суперадминистраторы должны входить в систему по мере необходимости для выполнения конкретных задач, а затем выходить из нее.

Для выполнения повседневных административных задач используйте учетные записи, не являющиеся учетными записями суперадминистраторов.

Используйте учетную запись суперадминистратора только при необходимости. Делегируйте административные задачи учетным записям пользователей с ограниченными административными правами. Используйте подход минимальных привилегий, при котором каждый пользователь имеет доступ к ресурсам и инструментам, необходимым для выполнения своих типичных задач. Например, вы можете предоставить администратору права на создание учетных записей пользователей и сброс паролей, но не разрешать ему удалять учетные записи пользователей.

О ролях администратора

Выберите способ восстановления доступа суперадминистраторов к своим учетным записям.

Управляйте доступом суперадминистраторов к своим учетным записям в случае, если они забудут пароль, включив или выключив функцию самостоятельного восстановления учетной записи. Для большинства существующих и всех новых клиентов функция восстановления учетной записи суперадминистратора по умолчанию отключена . Если вы являетесь существующим клиентом с менее чем 3 суперадминистраторами или 500 пользователями, эта настройка включена по умолчанию , как и раньше.

Предоставьте суперадминистраторам возможность восстанавливать свои пароли.

Настройте оповещения по электронной почте для администратора.

Отслеживайте активность администратора и потенциальные риски безопасности, настроив оповещения по электронной почте для администратора о определенных событиях, таких как подозрительные попытки входа в систему, взломанные мобильные устройства или изменения, внесенные другим администратором.

При включении оповещений о каком-либо событии вы будете получать электронное письмо каждый раз, когда это событие произойдет.

Административные оповещения по электронной почте и правила, определяемые системой.

Просмотрите события журнала администратора.

Используйте данные событий журнала, чтобы просмотреть историю всех задач, выполненных в консоли администратора Google, с указанием того, какой администратор выполнил задачу, даты и IP-адреса, с которого администратор вошел в систему.

Действия суперадминистратора отображаются в столбце «Описание события» как _SEED_ADMIN_ROLE , за которым следует имя пользователя.

События журнала администратора

Добавить параметры восстановления для учетных записей администратора

Администраторы должны добавить параметры восстановления в свою учетную запись администратора.

Если администратор забудет свой пароль, он может нажать на ссылку « Нужна помощь?» на странице входа в систему, и Google отправит новый пароль по телефону, SMS или электронной почте. Для этого Google потребуется номер телефона для восстановления доступа и адрес электронной почты для этой учетной записи.

Добавьте информацию для восстановления учетной записи в свою учетную запись администратора.

Держите под рукой информацию для сброса пароля.

Если включена функция самостоятельного восстановления учетной записи суперадминистратора, суперадминистраторы, добавившие параметры восстановления к своим учетным записям, могут сбросить свой пароль, используя электронную почту или телефон.

Если функция самовосстановления учетной записи суперадминистратора отключена, и другой суперадминистратор недоступен для сброса пароля, суперадминистраторы, которым необходимо сбросить свой пароль, могут использовать мастер восстановления.

Для подтверждения личности Google задает вопросы об учетной записи организации:

• Дата создания учетной записи.
• Исходный дополнительный адрес электронной почты, связанный с учетной записью (адрес электронной почты, использованный при регистрации).
• Номер заказа Google, связанный с учетной записью (если применимо).
• Количество созданных учетных записей пользователей.
• Платежный адрес, привязанный к учетной записи.
• Тип используемой кредитной карты и её последние 4 цифры.

Google также запрашивает у администратора подтверждение права собственности на DNS-сервер домена, поэтому администратору необходимы учетные данные для редактирования настроек DNS домена у своего регистратора.

Сбросьте пароль администратора, если электронная почта и телефон недоступны.

Зарегистрируйте запасной ключ безопасности

Администраторам следует зарегистрировать несколько ключей безопасности для своей учетной записи и хранить их в безопасном месте. В случае утери или кражи основного ключа безопасности они все равно смогут войти в свою учетную запись.

Добавьте ключ безопасности к своему аккаунту.

Сохраните резервные коды заранее.

Если администратор потеряет свой ключ безопасности или телефон (на который он получает код подтверждения 2SV или запрос от Google), он может использовать резервный код для входа в систему.

Администраторы должны генерировать и распечатывать резервные коды на случай необходимости. Резервные коды следует хранить в безопасном месте.

Сгенерировать и распечатать резервные коды