Yönetici hesapları için güvenlik konusunda en iyi uygulamalar

Yönetici hesaplarınızın ve dolayısıyla işletmenizin genel güvenliğini artırmak için buradaki en iyi uygulamaları takip edin.

Diğer en iyi güvenlik uygulamaları için Güvenlik kontrol listeleri başlıklı makaleyi inceleyin.

Yönetici hesaplarını koruma

Yönetici hesapları için 2 Adımlı Doğrulama'yı zorunlu kılın

Yönetici şifresinin ele geçirilmesi durumunda 2 Adımlı Doğrulama, hesabın yetkisiz erişime karşı korunmasına yardımcı olur. Yönetici hesapları, kuruluştaki tüm işletme ve çalışan verilerine erişimi yönettiği için süper yöneticilerin 2 Adımlı Doğrulama kullanması özellikle önemlidir.

2 Adımlı Doğrulama ile işletmenizi koruma

2 Adımlı Doğrulama için güvenlik anahtarlarını kullanma

Güvenlik anahtarları, Google istemi, Google Authenticator ve yedek kodlar gibi çeşitli 2 Adımlı Doğrulama yöntemleri mevcuttur. Güvenlik anahtarları, iki etmenli kimlik doğrulama amacıyla kullanılan küçük donanım cihazlarıdır. Kimlik avı tehditlerine karşı korunmanıza yardımcı olan bu cihazların kullanımı, en güvenli 2 Adımlı Doğrulama yöntemidir.

Güvenlik anahtarları

Yönetici hesaplarını kullanıcılar arasında paylaşmayın

Her yöneticiye kendine özel, tanımlanabilir bir yönetici hesabı verin. Aksi takdirde, birden fazla kullanıcı Yönetici Konsolu'nda oturum açmak için aynı yönetici hesabını kullanırsa (ör. yonetici@example.com) denetleme günlüğündeki belirli etkinliklerden hangi yöneticinin sorumlu olduğunu anlayamazsınız.

Hedeflenmiş saldırılara karşı korunun

Süper yönetici hesaplarını ve diğer hassas hesapları Gelişmiş Koruma Programı'na kaydederek bu makaledeki önerilerin çoğunu aynı anda uygulayabilirsiniz.

Kullanıcıları Gelişmiş Koruma Programı ile koruma

Süper yönetici hesaplarını yönetme

Birden çok süper yönetici hesabı oluşturun

Kuruluşunuz, her biri ayrı bir kullanıcı tarafından yönetilen birden fazla süper yönetici hesabına sahip olmalıdır (ortak bir yönetici hesabı kullanmayın). Bir hesap kaybedilir veya ele geçirilirse bu hesap kurtarılırken başka bir süper yönetici kritik görevleri gerçekleştirebilir.

Günlük faaliyetleriniz için süper yönetici hesabı kullanmayın

Her süper yöneticiye, kendine özel bir süper yönetici hesabı ve günlük etkinlikler için ayrı bir hesap olmak üzere 2 hesap verin. Kullanıcılar, yalnızca süper yönetici görevlerini (ör. 2 Adımlı Doğrulamayı ayarlama veya başka bir yöneticinin hesabını kurtarmasına yardımcı olma) gerçekleştirmek için süper yönetici hesabında oturum açmalıdır.

Süper yöneticiler, günlük etkinlikleri için yönetici hesabı olmayan ayrı bir hesap kullanmalıdır.

Örneğin, Melek ve Cihan süper yöneticiyse bu kullanıcıların aşağıdaki şekilde tanımlanabilir birer yönetici hesabı ve kullanıcı hesabı olması gerekir:

  • yonetici-melek@example.com, melek@example.com
  • yonetici-cihan@example.com, cihan@example.com

Önemli yönetici duyurularını aldığınızdan emin olun

Birincil yönetici hesabınızda sık oturum açmıyorsanız Google'dan gelen önemli zorunlu hizmet duyurularını kaçırabilirsiniz. Bu duyuruları aldığınızdan emin olmak amacıyla söz konusu bildirimleri düzenli olarak kullandığınız bir hesaba göndermek için ikincil bir e-posta kişisi ayarlayın.

Fatura ve hesap bildirimlerini başka bir yöneticiye gönderme

Süper yönetici hesabınızın oturumunu açık bırakmayın

Belirli bir yönetim görevini gerçekleştirmediğiniz halde süper yönetici hesabının oturumunu açık bırakırsanız kimlik avı saldırılarına maruz kalma riskini artırıyor olabilirsiniz. Süper yöneticiler, yalnızca belirli görevleri gerçekleştirmek için oturum açmalı ve sonra oturumlarını kapatmalıdır.

Günlük yönetici görevleri için süper yönetici olmayan hesapları kullanın

Süper yönetici hesabını yalnızca gerektiğinde kullanın. Yönetici görevleri sınırlı yönetici rollerine sahip olan kullanıcı hesaplarına verin. Her kullanıcının yalnızca rutin görevleriyle ilişkili kaynak ve araçlara erişebilmesini sağlayan, en düşük ayrıcalığı vereceğiniz bir yaklaşımı tercih edin. Örneğin, kullanıcı hesabı oluşturmak ve şifre sıfırlamak için yönetici izni verebilir, kullanıcı hesabı silmek için ise izin vermeyebilirsiniz.

Yönetici rolleri hakkında

Süper yöneticilerin hesaplarına nasıl giriş yapacağını seçme

Hesabı kendi kendine kurtarma özelliğini etkinleştirerek veya devre dışı bırakarak, şifrelerini unutan süper yöneticilerin hesaplarına nasıl erişeceğini kontrol edin. Mevcut müşterilerin çoğu ve yeni müşterilerin tümü için süper yönetici hesap kurtarma ayarı varsayılan olarak devre dışıdır. 3'ten az süper yöneticisi veya 500'den az kullanıcısı olan mevcut bir müşteriyseniz bu ayar, önceki davranışa uygun şekilde varsayılan olarak etkindir.

Süper yöneticilerin şifrelerini kurtarmasına izin verme

Yönetici hesaplarındaki etkinliği izleme

Yönetici e-posta uyarılarını ayarlama

Şüpheli oturum açma girişimleri, güvenliği ihlal edilen mobil cihazlar veya başka bir yönetici tarafından yapılan ayar değişiklikleri gibi belirli etkinlikler için yönetici e-posta uyarılarını ayarlayarak yönetici etkinliğini izleyebilir ve potansiyel güvenlik risklerini takip edebilirsiniz.

Bir etkinlikle ilgili olarak uyarı özelliğini etkinleştirdiğinizde bu etkinliğin her meydana gelişinde e-posta alırsınız.

Yönetici e-posta uyarıları ve sistem tarafından tanımlanmış kurallar

Yönetici günlüğü etkinliklerini inceleme

Google Yönetici Konsolu'nda gerçekleştirilen görevlerin geçmişini, bu görevlerin hangi yönetici tarafından gerçekleştirildiğini, gerçekleşme tarihini ve yöneticinin oturum açtığı IP adresini görmek için günlük etkinliği verilerini kullanın.

Süper yönetici etkinlikleri, Etkinlik Açıklaması sütununda _SEED_ADMIN_ROLE ifadesi ile gösterilir. Bu ifadenin hemen sonrasında ise kullanıcı adı bulunur.

Yönetici günlüğü etkinlikleri

Yönetici hesabını kurtarmak için önlem alma

Yönetici hesaplarına kurtarma seçenekleri ekleme

Yöneticiler, hesaplarına kurtarma seçenekleri eklemelidir.

Yönetici şifresini unutursa oturum açma sayfasındaki Yardıma mı ihtiyacınız var? bağlantısını tıklayabilir. Bu durumda Google; telefon, SMS veya e-posta yoluyla yeni bir şifre gönderir. Bunu yapabilmek için Google'ın, hesapla ilişkili bir kurtarma telefon numarası ve e-posta adresine ihtiyacı vardır.

Yönetici hesabınıza hesap kurtarma bilgileri ekleme

Şifre sıfırlama için bilgileri hazır bulundurun

Süper yönetici hesabını kendi kendine kurtarma özelliği etkinse hesaplarına kurtarma seçenekleri eklemiş olan süper yöneticiler, e-posta veya telefonla kurtarma seçeneklerini kullanarak şifrelerini sıfırlayabilir. 

Süper yönetici hesabını kendi kendine kurtarma özelliği devre dışıysa ve şifreyi sıfırlayacak başka bir süper yönetici yoksa şifresini sıfırlaması gereken süper yöneticiler kurtarma sihirbazını kullanabilir.

Google, süper yöneticinin kimliğini doğrulamak için kuruluşun hesabıyla ilgili bazı sorular sorar:

  • Hesabın oluşturulduğu tarih.
  • Hesapla (kaydolmak için kullanılan e-posta adresi) ilişkili orijinal ikincil e-posta adresi.
  • Hesapla ilişkili Google sipariş numarası (varsa).
  • Oluşturulan kullanıcı hesabı sayısı.
  • Hesaba bağlı fatura adresi.
  • Kullanılan kredi kartı türü ve kartın son 4 hanesi.

Ayrıca Google, yöneticiden alanın DNS sahipliğini doğrulamasını ister. Bu nedenle, yöneticinin kendi kayıt operatöründe alan DNS ayarlarını düzenlemek için kullanılan kimlik bilgilerine sahip olması gerekir.

Yönetici şifrenizi sıfırlama: E-posta ve telefon seçenekleri kullanılabilir değilse

Yedek bir güvenlik anahtarı kaydedin

Yöneticiler, yönetici hesapları için birden fazla güvenlik anahtarı kaydetmeli ve bunları güvenli bir yerde saklamalıdır. Böylece, birincil güvenlik anahtarı kaybolsa veya çalınsa bile hesapta oturum açılabilir.

Hesabınıza güvenlik anahtarı ekleme

Yedek kodları önceden kaydedin

Güvenlik anahtarını ya da telefonunu kaybeden yöneticiler (iki adımlı doğrulama kodunu veya Google istemini aldıkları cihaz), oturum açmak için yedek kod kullanabilir.

Yöneticiler, ihtiyaç halinde kullanılmak üzere yedek kodlar oluşturmalı ve bunları yazdırmalıdır. Yedek kodları güvenli bir yerde saklayın.

Yedek kodlar oluşturup yazdırma