中型和大型企業的 IT 管理員應按照下方的安全性最佳做法,強化公司的資安和隱私權防護能力。在落實檢查清單所列的最佳做法時,您將用到 Google 管理控制台中的一或多項設定。
如果貴公司沒有 IT 管理員,請參閱「適用於小型企業 (1-100 位使用者) 的安全性檢查清單」,查看其中建議的做法是否更符合貴公司的需求。
注意:某些 Google Workspace 版本或 Cloud Identity 版本可能不支援本文提及的部分設定。
安全性最佳做法:設定
為保障貴公司的安全,系統預設會啟用這份檢查清單中的多項建議設定。
由於超級管理員可控管機構中所有業務資料和員工資料的存取權,因此保護他們的帳戶特別重要。
如需完整的建議清單,請參閱「適用於管理員帳戶的安全性最佳做法」。
強制使用多重驗證
|
|
規定使用者必須使用兩步驟驗證 兩步驟驗證功能可防止未經授權的人士存取使用者的帳戶,即使對方已獲得使用者的密碼也無法順利登入。 |
|
|
強制使用安全金鑰 (至少針對管理員和其他內含重要資訊的帳戶) 安全金鑰是登入時使用的小型硬體裝置,這種雙重驗證機制可防範網路釣魚。 |
保護密碼
|
|
運用密碼防護警示避免密碼重複使用 運用密碼防護警示,防止使用者將公司密碼用在其他網站上。 |
|
|
使用不重複的密碼 高強度密碼是保護使用者和管理員帳戶的第一道防線。使用不重複的密碼才能避免遭他人輕易破解。此外,我們不建議在不同帳戶 (例如電子郵件帳戶和網路銀行帳戶) 中重複使用相同的密碼。 |
防止帳戶被盜及相關因應措施
|
|
定期檢閱活動報告與快訊 透過活動報告檢閱帳戶狀態、管理員狀態和兩步驟驗證註冊詳情。 |
|
|
設定管理員電子郵件快訊 針對可能會帶來風險的事件設定電子郵件快訊,例如可疑的嘗試登入行為、行動裝置遭駭,或是其他管理員變更了設定。 |
|
|
新增使用者登入身分確認問題 針對可疑的嘗試登入行為設定登入身分確認問題。使用者必須輸入 Google 傳送至他們備援電話號碼或備援電子郵件地址的驗證碼,或是回答只有帳戶擁有者才能答出的驗證問題。 |
|
|
找出遭盜用的帳戶並採取安全保護措施 如果您懷疑特定帳戶已遭盜用,請將該帳戶停權、調查是否有惡意活動,並採取必要行動。
|
|
|
視需要關閉 Google 資料下載功能 如果帳戶遭到盜用,或是使用者離職,請禁止使用者透過「Google 匯出」功能下載所有 Google 資料。 |
 |
在員工離職後防止未經授權的存取行為 為避免資料外洩,請在使用者離職時撤銷對方存取貴機構資料的權限。 |
|
|
檢查第三方應用程式的核心服務存取權 瞭解及核准哪些第三方應用程式可以存取 Google Workspace 核心服務 (例如 Gmail 和雲端硬碟)。 |
|
禁止低安全性應用程式的存取權 低安全性應用程式並未採用 OAuth 之類的最新安全標準,因此使用這類應用程式會增加帳戶或裝置遭駭的風險。 |
|
|
建立可信任的應用程式清單 建立許可清單,指定哪些第三方應用程式可以存取 Google Workspace 核心服務。 |
|
控管 Google 核心服務的存取權 您可以根據裝置的 IP 位址、地理位置來源、安全性政策或 OS,允許或禁止使用者存取 Google 應用程式,例如 Gmail、雲端硬碟和日曆。舉例來說,您可以僅允許在特定國家/地區,透過公司擁有的裝置使用雲端硬碟電腦版。 |
|
為使用者的應用程式資料多添一層加密機制 如果貴機構會處理機密的智慧財產資訊,或是從事須高度管制的產業,您可以為 Gmail、Google 雲端硬碟、Google Meet 和 Google 日曆新增用戶端加密功能。 |
|
|
限制日曆外部共用設定 您可以對日曆的外部共用設定設限,只允許顯示有空/忙碌資訊。這種做法可降低資料外洩的風險。 |
|
在使用者邀請外部邀請對象時發出警告 根據預設,使用者邀請外部邀請對象時,Google 日曆會發出警告。這種做法可降低資料外洩的風險。請務必為所有使用者開啟這項警告。 |
|
限制哪些人可以和外部人士進行即時通訊 僅允許擁有特定需求的使用者向機構外部人士傳送訊息或建立聊天室。這麼做可以避免外部使用者看到先前的內部討論內容,藉此降低資料外洩風險。 |
|
|
在使用者與網域外的使用者進行即時通訊時顯示警告 (僅限傳統版 Hangouts) 在使用者與網域外的使用者進行即時通訊時顯示警告。啟用這項設定後,當第一位網域外使用者加入討論時,系統會分割群組通訊對話,不讓外部使用者看到先前的內部討論內容,藉此降低資料外洩風險。 在 Chat 中,外部使用者和聊天室一律會標示為「外部」。 |
|
|
設定即時通訊邀請政策 根據貴機構的協作政策,判斷哪些使用者可以自動接受即時通訊邀請。 |
|
|
讓 Chrome 瀏覽器和 ChromeOS 保持在最新狀態 為確保使用者能收到最新的安全性修補程式,請允許更新。如果是 Chrome 瀏覽器,請一律允許更新。根據預設,每當有新的 Chrome 版本推出,ChromeOS 裝置都會自動更新。請務必為所有 ChromeOS 裝置使用者啟用自動更新功能。 為使用者或瀏覽器設定 Chrome 政策 | 管理 ChromeOS 裝置的更新 |
|
強制重新啟動以套用更新 請設定 Chrome 瀏覽器和 ChromeOS 裝置,通知使用者必須重新啟動瀏覽器或裝置,系統才能套用更新;如果使用者未採取行動,系統會在一段時間後強制重新啟動。 通知使用者重新啟動以便套用尚未安裝的更新 |
|
|
設定基本的 ChromeOS 裝置和 Chrome 瀏覽器政策 在 Google 管理控制台中設定下列政策:
|
|
|
設定進階的 Chrome 瀏覽器政策 您可以設定下列進階政策,藉此防範未經授權的存取行為、危險的下載作業和網站間的資料外洩事件:
|
|
|
設定 Windows 電腦版瀏覽器政策 如果貴機構想要採用 Chrome 瀏覽器,但使用者仍需透過 Internet Explorer 存取舊型的網站和應用程式,這時即可運用 Chrome 舊版瀏覽器支援擴充功能,自動為使用者切換 Chrome 和其他瀏覽器。如有需要舊版瀏覽器的應用程式,可使用舊版瀏覽器支援。 |
您可以利用 Google 端點管理服務,保護行動裝置、平板電腦、筆記型電腦和電腦上的使用者帳戶及工作資料。
如需完整的建議清單,請參閱「裝置管理安全性檢查清單」。
限制與網域外使用者的共用和協作活動
|
|
為機構外部共用檔案設定選項或建立規則 關閉共用選項或建立信任規則 (可讓您更精準控管共用設定),將檔案共用範圍限制在您的網域內。這種做法可降低資料外洩和資料竊取的風險。如因業務需求而必須與機構外部人員共用檔案,您可以決定機構單位的檔案共用方式,或是指定許可清單上的網域。 |
|
在使用者與網域外部人員共用檔案時發出警告 如果您允許使用者和網域外部人員共用檔案,系統會在使用者這麼做時發出警告,這可讓使用者確定是否有意要執行這項操作,降低資料外洩的風險。 |
|
禁止使用者在網路上發布檔案 停用在網路上發布檔案的功能。這種做法可降低資料外洩的風險。 |
|
|
設定檔案共用的一般存取權選項 將檔案共用的預設存取權選項設為「受限制」。除非檔案擁有者另外指定共用對象,否則只有擁有者本人能存取檔案。您也可以選擇為不同部門的使用者建立自訂共用群組 (目標對象)。 |
|
|
限制僅收件者能存取檔案 當使用者透過文件或雲端硬碟以外的 Google 產品共用檔案時 (例如在 Gmail 中貼上連結),存取權檢查工具可以檢查收件者是否能存取檔案。建議您僅針對收件者設定存取權檢查工具。這種做法可讓您控管使用者所共用連結的存取設定,降低資料外洩的風險。 |
|
防止外部使用者找到貴機構的群組成員,或降低這類風險 如要避免其他使用 Google Workspace 的機構使用者找到貴機構的群組成員,請勿允許外部機構與您的使用者共用檔案。如要降低這類風險,請只針對加入許可清單的網域允許外部共用。 如果您使用 Google 雲端硬碟共用設定:請為每個您想防範這類風險的機構單位,執行下列任一操作:
詳情請參閱「管理貴機構的外部共用設定」。 如果針對雲端硬碟共用設定使用信任規則:如要降低這類風險,請先使用下列設定建立信任規則:
詳情請參閱「建立信任規則」。 接著,停用名為「[預設] 本機構的使用者可向任何人分享內容並接收他人分享的內容,且在分享內容時系統會彈出警示」的預設規則。詳情請參閱「查看或編輯信任規則詳細資料」。 |
|
|
要求外部協作者必須登入 Google 帳戶 要求外部協作者使用 Google 帳戶登入。如果對方沒有 Google 帳戶,可以免費建立帳戶。這種做法可降低資料外洩的風險。 |
|
|
限制哪些使用者可以從共用雲端硬碟移動內容 只有貴機構的使用者能將共用雲端硬碟檔案移至其他機構的雲端硬碟。 |
|
|
控管新共用雲端硬碟的內容共用設定 限制哪些使用者可以建立共用雲端硬碟、存取內容或變更新共用雲端硬碟的設定。 |
限制雲端硬碟資料保留本機副本
|
|
停用離線文件存取權 為降低資料外洩的風險,建議您停用離線文件存取權。如果文件可供離線存取,文件副本會儲存在本機。如因業務需求而必須啟用離線文件存取權,請為相關機構單位個別啟用這項功能,將風險降到最低。 |
|
|
停用雲端硬碟的桌面存取權 使用者可透過 Google 雲端硬碟電腦版,取得雲端硬碟的桌面存取權。為降低資料外洩的風險,建議您停用雲端硬碟的桌面存取權。如果要啟用桌面存取權,請只針對有重大業務需求的使用者啟用。 |
控管第三方應用程式的資料存取權
|
|
禁止使用 Google 文件外掛程式 為降低資料外洩的風險,建議您不要允許使用者從外掛程式商店安裝 Google 文件外掛程式。如要支援特定業務需求,您可以根據貴機構政策部署特定的 Google 文件外掛程式。 |
保護私密資料
|
禁止共用含有私密資料的檔案,或在此情況發生時顯示警告 為降低資料外洩的風險,請設定資料遺失防護規則,以便掃描檔案是否含有私密資料,並在使用者嘗試對外共用這類檔案時採取行動。舉例來說,您可以禁止對外共用含有護照號碼的文件,並接收電子郵件快訊。 |
設定驗證和基礎架構
|
|
透過 SPF、DKIM 和 DMARC 驗證電子郵件 電子郵件驗證系統包含 SPF、DKIM 和 DMARC 三項機制,該系統使用 DNS 設定驗證電子郵件並進行數位簽署,可防止網域受到假冒的電子郵件危害。 攻擊者有時會偽造電子郵件中的「寄件者」地址,讓人誤以為郵件是由您網域中的使用者所寄送。您可以為所有外寄電子郵件串設定 SPF 和 DKIM,藉此防範假冒行為。 SPF 和 DKIM 設定完成後,您可以設定 DMARC 記錄,定義 Google 和其他接收端應如何處理貌似從您網域寄出,但未經驗證的電子郵件。 |
|
|
配合 SPF 設定內送電子郵件閘道 SPF 有助於避免系統將外寄郵件歸類為垃圾郵件,但閘道可能會影響 SPF 的運作方式。如果您使用電子郵件閘道轉送收到的電子郵件,請務必根據寄件者政策架構 (SPF) 妥善調整設定。 |
|
|
要求合作夥伴網域使用傳輸層安全標準 (TLS) 請配置 TLS 設定,要求使用者與合作夥伴網域之間的郵件通訊必須使用安全連線。 |
|
|
要求所有已核准的寄件者進行驗證程序 您建立可略過垃圾郵件分類的核准寄件者地址清單後,請要求他們驗證。如果關閉寄件者驗證功能,Gmail 就無法驗證郵件是否由系統顯示的寄件者寄出。要求驗證可降低假冒和網路釣魚/商業郵件詐騙的風險。進一步瞭解寄件者驗證功能。 |
|
|
設定 MX 記錄以確保郵件正常收發 建議您將指向 Google 郵件伺服器的 MX 記錄設為優先順序最高的記錄,確保 Google Workspace 網域使用者能正確收發郵件。這可以降低資料刪除 (因遺失電子郵件所致) 和惡意軟體威脅的風險。 為 Google Workspace Gmail 設定 MX 記錄 | Google Workspace MX 記錄值 |
保護使用者和機構
|
|
停用 IMAP/POP 存取權 使用者可利用 IMAP 和 POP 桌面用戶端,透過第三方電子郵件用戶端存取 Gmail。請為所有非明確需要 POP 和 IMAP 存取權的使用者停用這項存取權。這種做法可降低資料外洩、資料刪除和資料竊取的風險。此外,IMAP 用戶端可能沒有和第一方用戶端同級的保護措施,停用這項存取權可降低受到攻擊的威脅。 |
|
|
停用自動轉寄 禁止使用者將收到的郵件自動轉寄到其他地址。攻擊者常在電子郵件轉寄過程中竊取資訊,因此停用自動轉寄選項可降低轉寄過程中發生資料竊取的風險。 |
|
|
啟用全方位郵件儲存空間 全方位郵件儲存空間可確保網域中所有已收發郵件 (包括透過非 Gmail 信箱收發的郵件) 的副本,皆儲存在關聯使用者的 Gmail 信箱中。啟用這項設定可降低資料刪除的風險;如果您使用 Google 保管箱,請務必保留郵件或為郵件設定訴訟保留。 |
|
|
不要讓垃圾郵件篩選器略過內部寄件者 請關閉「讓垃圾郵件篩選器略過內部寄件者」設定,因為系統會將所有加入群組的外部地址視為內部地址。關閉這項設定可確保使用者的所有電子郵件 (包括來自內部寄件者的郵件) 都經過篩選,將垃圾郵件排除在外。這種做法可降低假冒和網路釣魚/商業郵件詐騙的風險。 |
|
|
為所有預設轉送規則新增垃圾郵件標頭設定 垃圾郵件標頭有助於充分發揮下游電子郵件伺服器的篩選能力,降低假冒和網路釣魚/商業郵件詐騙的風險。設定預設轉送規則時,請勾選「新增 X-Gm-Spam 和 X-Gm-Phishy 標頭」方塊,讓 Gmail 新增這些標頭,用來指出郵件是否為垃圾郵件和網路釣魚郵件。 舉例來說,下游伺服器的管理員可以運用這項資訊來設定規則,採取清除郵件之外的方式處理垃圾郵件和網路詐騙郵件。 |
|
|
啟用加強型送達前掃描郵件功能 啟用這項設定後,如果 Gmail 發現疑似網路釣魚的電子郵件時,就會對該郵件執行額外檢查。 |
|
|
啟用外部收件者警告功能 使用者的電子郵件回覆對象如果有外部收件者,Gmail 會偵測對方是否為使用者的聯絡人或經常互動的對象。在您指定這項設定後,使用者一旦回覆外部收件者,系統便會顯示警告和關閉選項。 |
|
|
啟用額外的附件防護措施 無論您是否啟用額外的惡意附件防護設定,Google 都會掃描收到的郵件,防止惡意軟體入侵。不過,如果啟用額外的附件防護措施,系統就能找出先前未偵測到的惡意內容電子郵件。 |
|
|
啟用額外的連結與外部內容防護措施 |
|
|
啟用額外的假冒行為防護措施 無論您是否啟用額外的假冒行為防護設定,Google 都會掃描收到的郵件,防範假冒行為。不過,啟用額外的假冒和驗證防護功能可帶來諸多益處。舉例來說,攻擊者可能以相似網域名稱或員工名稱假冒他人身分,啟用這項設定可降低這類風險。 |
處理 Gmail 日常工作時應考量的安全事項
|
|
覆寫垃圾郵件篩選器時應謹慎行事 為避免垃圾郵件數量增加,覆寫 Gmail 的預設垃圾郵件篩選器時需格外注意。 |
|
|
不要將網域加入核准的寄件者清單 如果您已設定核准的寄件者清單,並且勾選了「如果收到的郵件來自這些核准的寄件者清單中的地址或網域,則略過垃圾郵件篩選程序」,請從核准的寄件者清單中移除所有網域。將網域從核准的寄件者清單中移除,可降低假冒和網路釣魚/商業郵件詐騙的風險。 |
|
|
請勿將 IP 位址加入許可清單 系統通常不會將來自許可清單中 IP 位址的電子郵件標示為垃圾郵件。為了充分善用 Gmail 的垃圾郵件篩選服務,並適當地歸類垃圾郵件,建議您將用於轉寄電子郵件至 Gmail 的郵件伺服器 IP 位址 (包括您自家與合作夥伴的郵件伺服器) 新增至內送郵件閘道,而不要列於 IP 許可清單中。 |
保護私密資料
|
掃描及封鎖含有私密資料的電子郵件 為降低資料外洩的風險,您可以利用預先定義的資料遺失防護偵測工具掃描外寄電子郵件,讓使用者在收發含有敏感內容的郵件時採取行動。舉例來說,您可以禁止使用者傳送內含信用卡號碼的郵件,並接收電子郵件快訊。 |
|
使用以確保安全性為設計宗旨的群組 透過安全性群組管理敏感應用程式和資源,確保只有特定使用者可以存取這些內容。這種做法可降低資料外洩的風險。 |
|
為管理員角色新增安全性條件 |
|
|
為您的群組設定私人存取權 選取「私人」設定,就能將存取權限制為您網域中的成員 (群組成員仍然可以收到來自網域外的電子郵件)。這種做法可降低資料外洩的風險。 |
|
|
限制只有管理員能建立群組 只允許管理員建立群組。這種做法可降低資料外洩的風險。 |
|
|
自訂您的群組存取權設定 建議:
|
|
|
停用內部群組的部分存取權設定 下列設定可讓網際網路上的任何使用者加入群組、傳送訊息及查看封存的討論內容。請為內部群組停用這些設定:
|
|
|
為您的群組啟用垃圾內容審核設定 您可以選擇將訊息排入審核佇列 (通知或不通知管理員皆可)、立即拒絕垃圾訊息,或是讓訊息不需經過審核即可直接發布。 |
|
|
禁止與網域外的對象共用協作平台 |
|
|
將擁有保管箱存取權的帳戶視為機密帳戶 以保護超級管理員帳戶的方式,保護獲派保管箱管理員角色的帳戶。 |
|
|
定期稽核保管箱活動 具備保管箱權限的使用者不只可以搜尋及匯出其他使用者的資料,還能變更資料保留規則 (可能會清除需保留的資料)。請監控保管箱活動,確保只出現核准的資料存取作業和資料保留政策。 |
後續步驟:監控、調查及修復
|
|
檢閱您的安全性設定和調查活動 請定期前往安全中心查看安全防護機制、調查事件,並根據顯示資訊採取行動。 |
|
|
檢閱管理員稽核記錄 使用管理員稽核記錄,查看在 Google 管理控制台中執行的每項工作、執行工作的管理員、日期,以及管理員登入時使用的 IP 位址等。 |
