Hãy làm theo những phương pháp hay nhất này để cải thiện tính bảo mật của các tài khoản quản trị viên và mở rộng ra là toàn bộ doanh nghiệp của bạn.
Để biết thêm các phương pháp bảo mật hay nhất, hãy xem Danh sách kiểm tra bảo mật.
Bảo vệ tài khoản quản trị viên
|
Yêu cầu tài khoản quản trị phải bật tính năng Xác minh 2 bước Nếu có người lấy được mật khẩu quản trị viên, thì tính năng Xác minh 2 bước (2SV) sẽ giúp bảo vệ tài khoản khỏi hành vi truy cập trái phép. Quản trị viên cấp cao đặc biệt cần sử dụng tính năng xác minh 2 bước vì tài khoản của họ kiểm soát quyền truy cập vào tất cả dữ liệu về doanh nghiệp và nhân viên trong tổ chức. |
|
|
Sử dụng khoá bảo mật cho quy trình Xác minh 2 bước Có nhiều phương thức xác minh 2 bước, bao gồm cả khoá bảo mật, lời nhắc của Google, Google Authenticator và mã dự phòng. Khoá bảo mật là các thiết bị phần cứng nhỏ được dùng để xác thực bằng yếu tố thứ hai. Khoá bảo mật giúp chống lại các mối đe doạ tấn công giả mạo và là hình thức xác minh 2 bước an toàn nhất. |
|
|
Không chia sẻ tài khoản quản trị viên cho nhiều người dùng Cấp cho mỗi quản trị viên một tài khoản quản trị riêng biệt. Nếu không, nếu nhiều người dùng cùng một tài khoản quản trị viên để đăng nhập vào Bảng điều khiển dành cho quản trị viên (chẳng hạn như admin@example.com), bạn sẽ không biết quản trị viên nào chịu trách nhiệm cho các hoạt động cụ thể trong nhật ký kiểm tra. |
|
|
Bảo vệ khỏi các cuộc tấn công có chủ đích Bạn có thể áp dụng nhiều đề xuất trong bài viết này cùng một lúc bằng cách đăng ký tài khoản quản trị viên cấp cao và các tài khoản nhạy cảm khác vào Chương trình Bảo vệ nâng cao. |
Quản lý tài khoản quản trị viên cấp cao
|
|
Thiết lập nhiều tài khoản quản trị viên cấp cao Tổ chức của bạn nên có nhiều tài khoản quản trị viên cấp cao, mỗi tài khoản do một cá nhân riêng biệt quản lý (tránh chia sẻ tài khoản quản trị viên). Nếu một tài khoản bị mất hoặc bị xâm nhập, thì một quản trị viên cấp cao khác có thể thực hiện các công việc quan trọng trong khi tài khoản còn lại được khôi phục. |
|
|
Không sử dụng tài khoản quản trị viên cấp cao cho các hoạt động hằng ngày Cấp cho mỗi quản trị viên cấp cao 2 tài khoản: Tài khoản quản trị viên cấp cao của riêng họ và một tài khoản riêng cho các hoạt động hằng ngày. Người dùng chỉ nên đăng nhập vào tài khoản quản trị viên cấp cao để thực hiện các tác vụ của quản trị viên cấp cao, chẳng hạn như thiết lập tính năng Xác minh 2 bước (2SV), quản lý hoạt động thanh toán và giấy phép người dùng hoặc giúp một quản trị viên khác khôi phục tài khoản của họ. Quản trị viên cấp cao nên sử dụng một tài khoản riêng biệt, không phải tài khoản quản trị cho các hoạt động hằng ngày. Ví dụ: nếu Maria và James là quản trị viên cấp cao, thì mỗi người nên có một tài khoản quản trị có thể nhận dạng và một tài khoản người dùng, như sau:
|
|
|
Đảm bảo bạn nhận được các thông báo quan trọng của quản trị viên Nếu không thường xuyên đăng nhập bằng tài khoản quản trị chính, bạn có thể bỏ lỡ những thông báo bắt buộc quan trọng về dịch vụ của Google. Để đảm bảo bạn nhận được những thông báo này, hãy thiết lập một người liên hệ qua email phụ để gửi những thông báo này đến một tài khoản mà bạn thường xuyên sử dụng. Gửi thông báo thanh toán và thông báo về tài khoản cho một quản trị viên khác |
|
|
Không duy trì trạng thái đăng nhập vào tài khoản quản trị viên cấp cao Việc duy trì trạng thái đăng nhập vào tài khoản quản trị viên cấp cao khi bạn không thực hiện một số công việc quản trị có thể làm tăng nguy cơ gặp phải các cuộc tấn công giả mạo. Quản trị viên cấp cao nên đăng nhập khi cần để thực hiện một số công việc, sau đó đăng xuất. |
|
|
Sử dụng tài khoản không phải là quản trị viên cấp cao cho các công việc quản trị hằng ngày Chỉ sử dụng tài khoản quản trị viên cấp cao khi cần. Uỷ quyền các công việc quản trị cho tài khoản người dùng có vai trò quản trị hạn chế. Sử dụng phương pháp đặc quyền tối thiểu, trong đó mỗi người dùng có quyền truy cập vào các tài nguyên và công cụ cần thiết cho các tác vụ thông thường của họ. Ví dụ: bạn có thể cấp cho quản trị viên quyền tạo tài khoản người dùng và đặt lại mật khẩu, nhưng không cho phép họ xoá tài khoản người dùng. |
|
|
Chọn cách quản trị viên cấp cao lấy lại quyền truy cập vào tài khoản của họ Kiểm soát cách quản trị viên cấp cao truy cập vào tài khoản của họ nếu quên mật khẩu bằng cách bật hoặc tắt tính năng tự khôi phục tài khoản. Đối với hầu hết khách hàng hiện tại và tất cả khách hàng mới, tính năng khôi phục tài khoản quản trị viên cấp cao sẽ tắt theo mặc định. Nếu bạn là khách hàng hiện tại có ít hơn 3 quản trị viên cấp cao hoặc 500 người dùng, thì chế độ cài đặt này sẽ bật theo mặc định để phù hợp với hành vi trước đây. |
Theo dõi hoạt động trên tài khoản quản trị
|
|
Thiết lập thông báo qua email cho quản trị viên Theo dõi hoạt động của quản trị viên và phát hiện các rủi ro bảo mật tiềm ẩn bằng cách thiết lập cảnh báo qua email cho quản trị viên đối với một số sự kiện, chẳng hạn như các lần đăng nhập đáng ngờ, thiết bị di động bị xâm nhập hoặc các thay đổi do một quản trị viên khác thực hiện. Khi bật cảnh báo cho một hoạt động, bạn sẽ nhận được email mỗi khi hoạt động đó xảy ra. Cảnh báo qua email cho quản trị viên và các quy tắc do hệ thống xác định |
|
|
Xem xét sự kiện trong nhật ký của quản trị viên Sử dụng dữ liệu sự kiện nhật ký để xem nhật ký của mọi thao tác được thực hiện trong Bảng điều khiển dành cho quản trị viên của Google, quản trị viên nào đã thực hiện thao tác, ngày và địa chỉ IP mà quản trị viên đã đăng nhập. Hoạt động của quản trị viên cấp cao sẽ xuất hiện trong cột Nội dung mô tả sự kiện dưới dạng _SEED_ADMIN_ROLE, theo sau là tên người dùng. |
Chuẩn bị cho quy trình khôi phục tài khoản quản trị viên
|
|
Thêm các lựa chọn khôi phục vào tài khoản quản trị Quản trị viên nên thêm các lựa chọn khôi phục vào tài khoản quản trị viên của mình. Nếu quên mật khẩu, quản trị viên có thể nhấp vào đường liên kết Bạn cần trợ giúp? trên trang đăng nhập và Google sẽ gửi mật khẩu mới qua điện thoại, tin nhắn văn bản hoặc email. Để làm được việc đó, Google cần có số điện thoại và địa chỉ email khôi phục của tài khoản. Thêm thông tin khôi phục tài khoản vào tài khoản quản trị viên |
|
|
Chuẩn bị sẵn thông tin để đặt lại mật khẩu Nếu tính năng tự khôi phục tài khoản quản trị viên cấp cao đang bật, thì những quản trị viên cấp cao đã thêm các lựa chọn khôi phục vào tài khoản của họ có thể đặt lại mật khẩu bằng các lựa chọn khôi phục qua email hoặc điện thoại. Nếu tính năng tự khôi phục tài khoản quản trị viên cấp cao bị tắt và không có quản trị viên cấp cao nào khác có thể đặt lại mật khẩu, thì những quản trị viên cấp cao cần đặt lại mật khẩu có thể sử dụng trình hướng dẫn khôi phục. Để xác minh danh tính, Google sẽ hỏi một số câu hỏi về tài khoản của tổ chức:
Google cũng yêu cầu quản trị viên xác minh quyền sở hữu DNS của miền, vì vậy, quản trị viên cần có thông tin đăng nhập để chỉnh sửa chế độ cài đặt DNS của miền với nhà đăng ký. Đặt lại mật khẩu quản trị viên – Nếu không có lựa chọn email và điện thoại |
|
|
Đăng ký khoá bảo mật dự phòng Quản trị viên nên đăng ký nhiều khoá bảo mật cho tài khoản quản trị của mình và lưu trữ khoá ở một nơi an toàn. Nếu mất hoặc bị đánh cắp khoá bảo mật chính, họ vẫn có thể đăng nhập vào tài khoản của mình. |
|
|
Lưu mã dự phòng trước Nếu mất khoá bảo mật hoặc điện thoại (nơi nhận mã xác minh 2SV hoặc lời nhắc của Google), thì quản trị viên có thể dùng mã dự phòng để đăng nhập. Quản trị viên nên tạo và in mã dự phòng trong trường hợp cần dùng. Lưu trữ mã dự phòng ở nơi an toàn. |