1. Włączanie Weryfikacji Dwuetapowej (2FA)
Konfiguracja (dla administratora):
Zaloguj się do konsoli administracyjnej Google Workspace (admin.google.com).
Przejdź do Bezpieczeństwo > Uwierzytelnianie > Weryfikacja dwuetapowa
Możesz wybrać:
Zezwalaj użytkownikom na włączanie weryfikacji dwuetapowej: Pozwala użytkownikom indywidualnie włączyć 2FA
Wymuszanie weryfikacji dwuetapowej: Umożliwia wymuszenie 2FA dla wszystkich użytkowników. To jest
najbezpieczniejsza opcja i zdecydowanie zalecana. Możesz ustawić termin wdrożenia, aby dać użytkownikom czas na przygotowanie
Metody: Możesz skonfigurować metody weryfikacji, takie jak zezwolenie na używanie sms lub kluczy bezpieczeństwa
https://support.google.com/accounts/answer/185839
Konfiguracja (dla użytkownika):
Zaloguj się na swoje konto Google Workspace
Przejdź do Konto Google (możesz kliknąć swoje zdjęcie profilowe w prawym górnym rogu)
W menu po lewej stronie wybierz Bezpieczeństwo
W sekcji "Sposób logowania się w Google" kliknij Weryfikacja dwuetapowa
Postępuj zgodnie z instrukcjami, aby skonfigurować preferowaną metodę weryfikacji (np. aplikacja Authenticator, telefon)
Mocno sugeruje skonfigurować co najmniej dwie różne dodatkowe metody uwierzytelniania. W przypadku np. zgubienia telefonu/klucza nie
"odetniesz" się od konta
2. Skonfiguruj silne zasady haseł
Wymagaj od użytkowników stosowania złożonych haseł (długość, znaki specjalne, cyfry, małe i wielkie litery). Możesz to ustawić w Konsoli administracyjnej w sekcji Bezpieczeństwo -> Uwierzytelnianie -> Zarządzanie hasłami (Password management). Minimalna długość hasła to 12 znaków. Nie ustawiaj zbyt długich haseł, to jedynie zirytuje pracowników. Częstotliwość resetowania haseł nigdy albo co 365 dni chyba, że polityka bezpieczeństwa informacji w Twojej firmie wymaga inaczej. Ważniejszy od częstotliwości resetowania hasel jest 2FA i to on podnosi security
3. Konfiguracja Rekordów SPF DKIM i DMARC
Te rekordy DNS pomagają w weryfikacji, czy e-maile wysyłane z Twojej domeny są autentyczne i zmniejszają ryzyko podszywania się pod Was. Skonfigurujesz je u swojego dostawcy DNS
SPF (Sender Policy Framework):
Jak to działa: Tworzysz rekord TXT w ustawieniach DNS swojej domeny, który zawiera listę serwerów pocztowych uprawnionych do wysyłania e-maili z Twojej domeny. Serwery odbiorcze sprawdzają ten rekord, aby upewnić się, że przychodząca wiadomość pochodzi z autoryzowanego serwera
Konfiguracja: https://support.google.com/a/answer/33786?hl=pl
DKIM (DomainKeys Identified Mail):
Jak to działa: Google Workspace generuje unikalny klucz publiczny i prywatny dla Twojej domeny. Klucz prywatny jest używany do podpisywania wychodzących wiadomości e-mail nagłówkiem DKIM, a klucz publiczny jest publikowany w rekordzie TXT w Twoim DNS. Serwery odbiorcze używają klucza publicznego do weryfikacji podpisu i upewnienia się, że wiadomość nie została zmieniona
Konfiguracja: https://support.google.com/a/answer/174124?hl=pl
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Jak to działa: Rekord DMARC publikowany jest również jako rekord TXT w DNS Twojej domeny. Określa on politykę postępowania z wiadomościami, które nie przeszły weryfikacji SPF lub DKIM, oraz adres e-mail, na który mają być wysyłane raporty o takich próbach
Konfiguracja: https://support.google.com/a/answer/2466580?hl=pl
4. Dostosuj ustawienia udostępniania w Google Drive
Określ domyślne ustawienia udostępniania plików wewnątrz i na zewnątrz organizacji. Możesz ograniczyć możliwość udostępniania na zewnątrz, jeśli jest to wymagane ze względów bezpieczeństwa. Przejdź w konsoli administracyjnej Google Workspace (Admin console) w sekcji Aplikacje -> Google Workspace -> Dysk i Dokumenty -> Ustawienia udostępniania .
5. Sprawdź i dostosuj włączone alerty bezpieczeństwa
Google Workspace może wysyłać powiadomienia o podejrzanych aktywnościach na kontach użytkowników. Skonfiguruj je w Konsoli administracyjnej w sekcji Reguły
Co dalej jeśli masz już to wszystko wdrożone? Zajrzyj na stronę https://support.google.com/a/answer/9184226 Znajdziesz tu listy kontrolne które pomogą Ci jeszcze lepiej zabezpieczyć Twoje konto
