Sicherheitscheckliste für mittlere und große Unternehmen (100+ Benutzer)
IT-Administratoren mittlerer und großer Unternehmen sollten diese Best Practices für Sicherheit befolgen, um die Sicherheit und den Datenschutz von Unternehmensdaten zu stärken. Sie verwenden eine oder mehrere Einstellungen in der Google Admin-Konsole, um jede Best Practice in dieser Checkliste zu implementieren.
Wenn Ihr Unternehmen keinen IT-Administrator hat, prüfen Sie, ob die Empfehlungen in der Sicherheitscheckliste für kleine Unternehmen (1–100 Benutzer) für Ihr Unternehmen besser geeignet sind.
Hinweis : Nicht alle hier beschriebenen Einstellungen sind in allen Google Workspace-Editionen oder Cloud Identity-Editionen verfügbar.
Best Practices für Sicherheit – Einrichtung
Zum Schutz Ihres Unternehmens sind viele der in dieser Checkliste empfohlenen Einstellungen standardmäßig aktiviert.
Da Super-Admins den Zugriff auf alle Geschäfts- und Mitarbeiterdaten in der Organisation kontrollieren, ist es besonders wichtig, dass ihre Konten geschützt sind.
Eine vollständige Liste der Empfehlungen finden Sie unter Best Practices für die Sicherheit von Administratorkonten .
Multifaktor-Authentifizierung erzwingen
Fordern Sie die Bestätigung in zwei Schritten für Benutzer an Die Bestätigung in zwei Schritten hilft dabei, ein Benutzerkonto vor unbefugtem Zugriff zu schützen, falls es jemandem gelingt, an sein Passwort zu gelangen. Schützen Sie Ihr Unternehmen mit der Bestätigung in zwei Schritten | Stellen Sie die Bestätigung in zwei Schritten bereit | |
Erzwingen Sie Sicherheitsschlüssel, zumindest für Administratoren und andere hochwertige Konten Sicherheitsschlüssel sind kleine Hardwaregeräte, die bei der Anmeldung verwendet werden und eine Zweitfaktor-Authentifizierung bieten, die Phishing widersteht. |
Passwörter schützen
Helfen Sie mit Password Alert, die Wiederverwendung von Passwörtern zu verhindern Verwenden Sie die Kennwortwarnung, um sicherzustellen, dass Benutzer ihre Unternehmenskennwörter nicht auf anderen Websites verwenden. | |
Verwenden Sie eindeutige Passwörter Ein gutes Passwort ist die erste Verteidigungslinie zum Schutz von Benutzer- und Administratorkonten. Eindeutige Passwörter sind nicht leicht zu erraten. Vermeiden Sie auch die Wiederverwendung von Passwörtern über verschiedene Konten hinweg, wie z. B. E-Mail und Online-Banking. |
Helfen Sie, kompromittierte Konten zu verhindern und zu beheben
Überprüfen Sie regelmäßig Aktivitätsberichte und Warnungen Überprüfen Sie die Aktivitätsberichte auf Kontostatus, Administratorstatus und Registrierungsdetails für die Bestätigung in zwei Schritten. | |
Richten Sie E-Mail-Benachrichtigungen für Administratoren ein Richten Sie E-Mail-Benachrichtigungen für potenziell riskante Ereignisse ein, z. B. verdächtige Anmeldeversuche, kompromittierte mobile Geräte oder Einstellungsänderungen durch einen anderen Administrator. | |
Fügen Sie Herausforderungen für die Benutzeranmeldung hinzu Richten Sie Anmeldeaufforderungen für verdächtige Anmeldeversuche ein. Nutzer müssen einen Bestätigungscode eingeben, den Google an ihre Telefonnummer oder E-Mail-Adresse zur Wiederherstellung sendet, oder sie müssen eine Herausforderung beantworten, die nur der Kontoinhaber lösen kann. Überprüfen Sie die Identität eines Benutzers mit zusätzlicher Sicherheit | Fügen Sie die Mitarbeiter-ID als Anmeldeaufforderung hinzu | |
Identifizieren und sichern Sie kompromittierte Konten Wenn Sie vermuten, dass ein Konto kompromittiert sein könnte, sperren Sie das Konto, untersuchen Sie es auf böswillige Aktivitäten und ergreifen Sie gegebenenfalls Maßnahmen.
| |
Deaktivieren Sie den Google-Datendownload nach Bedarf Wenn ein Konto kompromittiert wird oder der Benutzer das Unternehmen verlässt, verhindern Sie mit Google Takeout, dass dieser Benutzer alle seine Google-Daten herunterlädt. | |
 | Verhindern Sie unbefugten Zugriff, nachdem ein Mitarbeiter gegangen ist Um Datenlecks zu verhindern, widerrufen Sie den Zugriff eines Benutzers auf die Daten Ihrer Organisation, wenn er die Organisation verlässt. Bewahren Sie die Datensicherheit, nachdem ein Mitarbeiter gegangen ist |
Überprüfen Sie den Zugriff von Drittanbieter-Apps auf Kerndienste Wissen und genehmigen Sie, welche Apps von Drittanbietern auf Google Workspace-Kerndienste wie Gmail und Drive zugreifen können. Steuern Sie, welche Drittanbieter- und internen Apps auf Google Workspace-Daten zugreifen | |
| Blockieren Sie den Zugriff auf weniger sichere Apps Weniger sichere Apps verwenden keine modernen Sicherheitsstandards wie OAuth und erhöhen das Risiko, dass Konten oder Geräte kompromittiert werden. |
Erstellen Sie eine Liste vertrauenswürdiger Apps Erstellen Sie eine Zulassungsliste, die angibt, welche Drittanbieter-Apps auf die Kerndienste von Google Workspace zugreifen können. Steuern Sie, welche Drittanbieter- und internen Apps auf Google Workspace-Daten zugreifen | |
| Kontrollieren Sie den Zugriff auf die Kerndienste von Google Sie können den Zugriff auf Google-Apps wie Gmail, Drive und Kalender basierend auf der IP-Adresse, dem geografischen Ursprung, den Sicherheitsrichtlinien oder dem Betriebssystem eines Geräts zulassen oder blockieren. Beispielsweise können Sie Drive für den Desktop nur auf unternehmenseigenen Geräten in bestimmten Ländern/Regionen zulassen. |
Beschränken Sie die externe Kalenderfreigabe Beschränken Sie die externe Kalenderfreigabe nur auf Frei/Gebucht-Informationen. Dadurch wird das Risiko von Datenlecks verringert. Legen Sie die Sichtbarkeits- und Freigabeoptionen für den Kalender fest | |
| Benutzer warnen, wenn sie externe Gäste einladen Standardmäßig warnt Google Kalender Benutzer, wenn sie externe Gäste einladen. Dadurch wird das Risiko von Datenlecks verringert. Stellen Sie sicher, dass diese Warnung für alle Benutzer aktiviert ist. |
| Schränken Sie ein, wer extern chatten kann Erlauben Sie nur den Benutzern mit einem bestimmten Bedarf, Nachrichten zu senden oder Räume mit Benutzern außerhalb Ihrer Organisation zu erstellen. Dadurch wird verhindert, dass externe Benutzer frühere interne Diskussionen sehen, und das Risiko von Datenlecks wird verringert. |
Nutzer warnen, wenn sie außerhalb ihrer Domain chatten (nur klassisches Hangouts) Benutzern eine Warnung anzeigen, wenn sie mit Personen außerhalb ihrer Domain chatten. Wenn diese Option aktiviert ist, werden Gruppenchat-Gespräche aufgeteilt, wenn die erste Person von außerhalb der Domäne zur Diskussion hinzugefügt wird. Dadurch wird verhindert, dass externe Benutzer frühere interne Diskussionen sehen, und das Risiko von Datenlecks wird verringert. Im Chat sind externe Benutzer und Räume immer als „Extern" gekennzeichnet. | |
Legen Sie eine Chat-Einladungsrichtlinie fest Legen Sie basierend auf den Richtlinien Ihrer Organisation zur Zusammenarbeit fest, welche Benutzer Chat-Einladungen automatisch annehmen können. |
Halten Sie den Chrome-Browser und Chrome OS auf dem neuesten Stand Um sicherzustellen, dass Ihre Benutzer über die neuesten Sicherheitspatches verfügen, lassen Sie Updates zu. Lassen Sie für den Chrome-Browser Updates immer zu. Standardmäßig werden Chrome OS-Geräte auf die neueste Version von Chrome aktualisiert, sobald diese verfügbar ist. Stellen Sie sicher, dass automatische Updates für alle Nutzer Ihrer Chrome OS-Geräte aktiviert sind. Chrome-Richtlinien für Benutzer oder Browser festlegen | Verwalten Sie Updates auf Chrome OS-Geräten | |
| Erzwingen Sie einen Neustart, um Updates anzuwenden Stellen Sie den Chrome-Browser und Chrome OS-Geräte so ein, dass sie Benutzer benachrichtigen, dass sie ihren Browser neu starten oder ihre Geräte neu starten müssen, damit das Update angewendet wird, und einen Neustart nach einer festgelegten Zeit erzwingen, wenn der Benutzer nichts unternimmt. Benachrichtigen Sie die Benutzer, dass sie neu starten sollen, um ausstehende Updates anzuwenden |
Legen Sie grundlegende Richtlinien für Chrome OS-Geräte und Chrome-Browser fest Legen Sie die folgenden Richtlinien in Ihrer Google Admin-Konsole fest:
| |
Legen Sie erweiterte Richtlinien für den Chrome-Browser fest Verhindern Sie unbefugten Zugriff, gefährliche Downloads und Datenlecks zwischen Websites, indem Sie die folgenden erweiterten Richtlinien festlegen:
Richtlinien für den Chrome-Browser auf verwalteten PCs festlegen | Leitfaden zur Sicherheitskonfiguration für Chrome-Browser für Unternehmen (Windows) | |
Legen Sie eine Windows-Desktop-Browser-Richtlinie fest Wenn Ihre Organisation den Chrome-Browser verwenden möchte, Ihre Benutzer jedoch weiterhin auf ältere Websites und Apps zugreifen müssen, für die Internet Explorer erforderlich ist, können Benutzer mit der Chrome Legacy Browser Support-Erweiterung automatisch zwischen Chrome und einem anderen Browser wechseln. Verwenden Sie Legacy Browser Support, um Anwendungen zu unterstützen, die einen Legacy-Browser erfordern. |
Deaktivieren Sie die automatische Erstellung von Currents-Profilen Deaktivieren Sie die automatische Erstellung öffentlicher Currents-Profile für Nutzer in Ihrer Organisation. | |
Schränken Sie ein, wie Nutzer externe Currents-Inhalte teilen und anzeigen Beispielsweise möchten Sie möglicherweise verhindern, dass Benutzer externe Inhalte erstellen oder mit ihnen interagieren. |
Mit der Google-Endpunktverwaltung können Sie Nutzerkonten und ihre Arbeitsdaten auf Mobilgeräten, Tablets, Laptops und Computern schützen.
Eine vollständige Liste der Empfehlungen finden Sie unter Sicherheitscheckliste für die Geräteverwaltung .
Schränken Sie die Freigabe und Zusammenarbeit außerhalb Ihrer Domain ein
Legen Sie Freigabeoptionen für Ihre Domain fest Beschränken Sie die Dateifreigabe auf die Grenzen Ihrer Domains, indem Sie die Freigabeoptionen deaktivieren. Dies reduziert das Risiko von Datenlecks und Datenexfiltration . Wenn die Freigabe außerhalb einer Domäne aufgrund geschäftlicher Anforderungen erforderlich ist, können Sie festlegen, wie die Freigabe für Organisationseinheiten erfolgt, oder Sie können Domänen auf Ihrer Zulassungsliste festlegen. Beschränken Sie die Freigabe außerhalb zulässiger Domänen | Beschränken Sie die Freigabe außerhalb Ihrer Organisation | |
Legen Sie die Standardeinstellung für die Linkfreigabe fest Deaktivieren Sie die Linkfreigabe für neue Dateien. Nur der Eigentümer der Datei sollte Zugriff haben, bis er die Datei freigibt. | |
Warnen Sie Benutzer, wenn sie eine Datei außerhalb Ihrer Domain freigeben Wenn Sie Nutzern erlauben, Dateien außerhalb Ihrer Domain freizugeben, aktivieren Sie eine Warnung, wenn ein Nutzer dies tut. Auf diese Weise können Benutzer bestätigen, ob diese Aktion beabsichtigt ist, und das Risiko von Datenlecks wird verringert . | |
Beschränken Sie den Dateizugriff nur auf Empfänger Wenn ein Nutzer eine Datei über ein anderes Google-Produkt als Docs oder Drive teilt (z. B. durch Einfügen eines Links in Gmail), kann Access Checker prüfen, ob die Empfänger auf die Datei zugreifen können. Richten Sie die Zugriffsprüfung nur für Empfänger ein. Dadurch haben Sie die Kontrolle über die Zugänglichkeit von Links, die von Ihren Benutzern geteilt werden, und verringern das Risiko von Datenlecks . | |
Verhindern Sie, dass Benutzer im Web veröffentlichen Deaktivieren Sie die Dateiveröffentlichung im Web. Dadurch wird das Risiko von Datenlecks verringert. Erlauben Sie Benutzern nicht, Dateien öffentlich freizugeben | |
Google-Anmeldung für externe Mitbearbeiter erforderlich Fordern Sie externe Mitarbeiter auf, sich mit einem Google-Konto anzumelden. Wenn sie kein Google-Konto haben, können sie kostenlos eines erstellen. Dadurch wird das Risiko von Datenlecks verringert. Deaktivieren Sie Einladungen zu Nicht-Google-Konten außerhalb Ihrer Domain | |
Schränken Sie ein, wer Inhalte aus geteilten Ablagen verschieben kann Erlauben Sie nur Nutzern in Ihrer Organisation, Dateien aus ihren geteilten Ablagen an einen Drive-Speicherort in einer anderen Organisation zu verschieben. Steuern Sie Dateien, die auf geteilten Laufwerken gespeichert sind | |
Steuern Sie die Inhaltsfreigabe in neuen geteilten Ablagen Beschränken Sie, wer geteilte Ablagen erstellen, auf Inhalte zugreifen oder die Einstellungen für neue geteilte Ablagen ändern kann. |
Beschränken Sie lokale Kopien von Drive-Daten
Deaktivieren Sie den Zugriff auf Offline-Dokumente Um das Risiko von Datenlecks zu verringern , sollten Sie den Zugriff auf Offline-Dokumente deaktivieren. Wenn auf Dokumente offline zugegriffen werden kann, wird eine Kopie des Dokuments lokal gespeichert. Wenn Sie einen geschäftlichen Grund haben, den Zugriff auf Offline-Dokumente zu aktivieren, aktivieren Sie diese Funktion pro Organisationseinheit, um das Risiko zu minimieren. | |
Deaktivieren Sie den Desktop-Zugriff auf Drive Benutzer können mit Google Drive für den Desktop Desktop-Zugriff auf Drive erhalten. Um das Risiko von Datenlecks zu verringern , sollten Sie den Desktop-Zugriff auf Drive deaktivieren. Wenn Sie sich entscheiden, den Desktop-Zugriff zu aktivieren, aktivieren Sie ihn nur für Benutzer mit kritischen geschäftlichen Anforderungen. |
Kontrollieren Sie den Zugriff auf Ihre Daten durch Apps von Drittanbietern
Google Docs-Add-ons nicht zulassen Um das Risiko von Datenlecks zu verringern, sollten Sie in Betracht ziehen, Nutzern nicht zu erlauben, Add-ons für Google Docs aus dem Add-on-Store zu installieren. Um einen bestimmten Geschäftsbedarf zu unterstützen, können Sie bestimmte Add-ons für Google Docs bereitstellen, die auf Ihre Unternehmensrichtlinie abgestimmt sind. |
Schützen Sie sensible Daten
| Blockieren oder warnen Sie beim Teilen von Dateien mit sensiblen Daten Um das Risiko von Datenlecks zu verringern, richten Sie Regeln zum Schutz vor Datenverlust ein, um Dateien auf vertrauliche Daten zu scannen und Maßnahmen zu ergreifen, wenn Benutzer versuchen, übereinstimmende Dateien extern freizugeben. Sie können beispielsweise die externe Freigabe von Dokumenten blockieren, die Passnummern enthalten, und eine E-Mail-Benachrichtigung erhalten. |
Richten Sie Authentifizierung und Infrastruktur ein
Authentifizieren Sie E-Mails mit SPF, DKIM und DMARC SPF, DKIM und DMARC richten ein E-Mail-Validierungssystem ein, das DNS-Einstellungen verwendet, um sich zu authentifizieren, digital zu signieren und Spoofing Ihrer Domäne zu verhindern. Angreifer fälschen manchmal die „Von"-Adresse in E-Mail-Nachrichten, sodass sie scheinbar von einem Benutzer in Ihrer Domain stammen. Um dies zu verhindern, können Sie SPF und DKIM für alle ausgehenden E-Mail-Streams einrichten. Sobald SPF und DKIM eingerichtet sind, können Sie einen DMARC-Eintrag einrichten, um festzulegen, wie Google und andere Empfänger mit nicht authentifizierten E-Mails umgehen sollen, die vorgeben, von Ihrer Domain zu stammen. Verhindern Sie Spam, Spoofing und Phishing mit der Gmail-Authentifizierung | |
Richten Sie Gateways für eingehende E-Mails ein, um mit SPF zu arbeiten SPF hilft zu verhindern, dass Ihre ausgehenden Nachrichten an Spam gesendet werden, aber ein Gateway kann sich auf die Funktionsweise von SPF auswirken. Wenn Sie ein E-Mail-Gateway zum Weiterleiten eingehender E-Mails verwenden, stellen Sie sicher, dass es ordnungsgemäß für das Sender Policy Framework (SPF) eingerichtet ist. | |
Erzwingen Sie TLS mit Ihren Partnerdomänen Stellen Sie die TLS-Einstellung so ein, dass eine sichere Verbindung für E-Mails zu (oder von) Partnerdomänen erforderlich ist. E-Mails müssen über eine sichere Verbindung (TLS) übertragen werden | |
Absenderauthentifizierung für alle zugelassenen Absender verlangen Wenn Sie eine Adressliste zugelassener Absender erstellen, die die Spam-Klassifizierung umgehen können, fordern Sie eine Authentifizierung an. Wenn die Absenderauthentifizierung deaktiviert ist, kann Google Mail nicht überprüfen, ob die Nachricht von der Person gesendet wurde, von der sie zu stammen scheint. Das Erfordernis einer Authentifizierung verringert das Risiko von Spoofing und Phishing/Whaling . Erfahren Sie mehr über die Absenderauthentifizierung . | |
Konfigurieren Sie MX-Einträge für den korrekten E-Mail-Fluss Konfigurieren Sie die MX-Einträge so, dass sie auf die E-Mail-Server von Google als Eintrag mit der höchsten Priorität verweisen, um den korrekten E-Mail-Fluss an die Nutzer Ihrer Google Workspace-Domain sicherzustellen. Dies reduziert das Risiko von Datenlöschung (durch verlorene E-Mails) und Malware- Bedrohungen. MX-Einträge für Google Workspace Gmail einrichten | Google Workspace MX zeichnet Werte auf |
Schützen Sie Benutzer und Organisationen
Deaktivieren Sie den IMAP/POP-Zugriff IMAP- und POP-Desktop-Clients ermöglichen Benutzern den Zugriff auf Gmail über E-Mail-Clients von Drittanbietern. Deaktivieren Sie den POP- und IMAP-Zugriff für alle Benutzer, die diesen Zugriff nicht ausdrücklich benötigen. Dies reduziert das Risiko von Datenlecks , Datenlöschung und Datenexfiltration . Es kann auch die Bedrohung durch Angriffe verringern, da IMAP-Clients möglicherweise nicht über ähnliche Schutzmaßnahmen wie Erstanbieter-Clients verfügen. | |
Deaktivieren Sie die automatische Weiterleitung Verhindern Sie, dass Benutzer eingehende E-Mails automatisch an eine andere Adresse weiterleiten. Dadurch wird das Risiko einer Datenexfiltration durch E-Mail-Weiterleitung verringert, was eine gängige Technik von Angreifern ist. | |
Aktivieren Sie eine umfassende E-Mail-Speicherung Umfassende E-Mail-Speicherung stellt sicher, dass eine Kopie aller gesendeten und empfangenen E-Mails in Ihrer Domain – einschließlich E-Mails, die von Nicht-Gmail-Postfächern gesendet oder empfangen werden – in den Gmail-Postfächern der zugehörigen Benutzer gespeichert wird. Aktivieren Sie diese Einstellung, um das Risiko einer Datenlöschung zu verringern und sicherzustellen, dass E-Mails aufbewahrt oder aufbewahrt werden, wenn Sie Google Vault verwenden Umfassenden Mailspeicher einrichten | Umfassender E-Mail-Speicher und Vault | |
Umgehen Sie keine Spamfilter für interne Absender Deaktivieren Sie Spamfilter für interne Absender umgehen, da alle externen Adressen, die Gruppen hinzugefügt werden, als interne Adressen behandelt werden. Indem Sie diese Einstellung deaktivieren, können Sie sicherstellen, dass alle Benutzer-E-Mails auf Spam gefiltert werden, einschließlich E-Mails von internen Absendern. Dies verringert das Risiko von Spoofing und Phishing/Whaling . | |
Fügen Sie allen Standard-Routing-Regeln die Einstellung für Spam-Header hinzu Spam-Header tragen dazu bei, die Filterkapazität von nachgeschalteten E-Mail-Servern zu maximieren und die Risiken von Spoofing und Phishing/Whaling zu reduzieren . Aktivieren Sie beim Einrichten von Standardroutingregeln das Kontrollkästchen X-Gm-Spam- und X-Gm-Phishy-Header hinzufügen, damit Gmail diese Header hinzufügt, um den Spam- und Phishing-Status der Nachricht anzugeben. Beispielsweise kann ein Administrator auf einem Downstream-Server diese Informationen verwenden, um Regeln einzurichten, die Spam und Phishing anders behandeln als saubere E-Mails. | |
Aktivieren Sie das erweiterte Scannen von Nachrichten vor der Zustellung Wenn Google Mail feststellt, dass eine E-Mail möglicherweise Phishing ist, ermöglicht diese Einstellung Google Mail, zusätzliche Überprüfungen der Nachricht durchzuführen. Verwenden Sie das erweiterte Scannen von Nachrichten vor der Zustellung | |
Warnungen für externe Empfänger aktivieren Google Mail erkennt, wenn ein externer Empfänger in einer E-Mail-Antwort nicht jemand ist, mit dem ein Benutzer regelmäßig interagiert, oder wenn er nicht in den Kontakten eines Benutzers vorhanden ist. Wenn Sie diese Einstellung konfigurieren, erhalten Ihre Benutzer eine Warnung und eine Option zum Schließen. | |
Aktivieren Sie zusätzlichen Anlagenschutz Google scannt eingehende Nachrichten zum Schutz vor Malware, auch wenn die zusätzlichen Schutzeinstellungen für bösartige Anhänge nicht aktiviert sind. Durch Aktivieren des zusätzlichen Anlagenschutzes können E-Mails abgefangen werden, die zuvor nicht als bösartig identifiziert wurden . | |
Aktivieren Sie zusätzlichen Link- und externen Inhaltsschutz | |
Aktivieren Sie zusätzlichen Spoofing-Schutz Google scannt eingehende Nachrichten zum Schutz vor Spoofing, auch wenn keine zusätzlichen Spoofing-Schutzeinstellungen aktiviert sind. Das Aktivieren von zusätzlichem Spoofing- und Authentifizierungsschutz kann beispielsweise das Risiko von Spoofing auf der Grundlage ähnlicher Domänennamen oder Mitarbeiternamen verringern. |
Sicherheitsüberlegungen für tägliche Gmail-Aufgaben
Seien Sie vorsichtig, wenn Sie Spamfilter überschreiben Um eine Zunahme von Spam zu vermeiden, seien Sie umsichtig und vorsichtig, wenn Sie die Standard-Spamfilter von Google Mail außer Kraft setzen.
| |
Nehmen Sie keine Domänen in die Liste der genehmigten Absender auf Wenn Sie zugelassene Absender eingerichtet und Spamfilter umgehen für Nachrichten aktiviert haben, die von Adressen oder Domänen in diesen Listen zugelassener Absender empfangen wurden, entfernen Sie alle Domänen aus Ihrer Liste zugelassener Absender. Das Ausschließen von Domänen aus der Liste der zugelassenen Absender verringert das Risiko von Spoofing und Phishing/Whaling . | |
Fügen Sie Ihrer Zulassungsliste keine IP-Adressen hinzu Im Allgemeinen werden E-Mails, die von IP-Adressen auf Ihrer Zulassungsliste gesendet werden, nicht als Spam markiert. Um den Gmail-Spamfilterdienst voll auszuschöpfen und die besten Spam-Klassifizierungsergebnisse zu erzielen, sollten die IP-Adressen Ihrer Mailserver und Partner-Mailserver, die E-Mails an Gmail weiterleiten, zu einem Inbound-Mail-Gateway und nicht zu einer IP-Zulassungsliste hinzugefügt werden. Fügen Sie IP-Adressen zu Zulassungslisten in Google Mail hinzu | Richten Sie ein Gateway für eingehende E-Mails ein |
Schützen Sie sensible Daten
| Scannen und blockieren Sie E-Mails mit sensiblen Daten Um das Risiko von Datenlecks zu verringern, scannen Sie ausgehende E-Mails mit vordefinierten Data Loss Protection-Detektoren, um Maßnahmen zu ergreifen, wenn Benutzer Nachrichten mit sensiblen Inhalten erhalten oder senden. Sie können beispielsweise verhindern, dass Benutzer Nachrichten senden, die Kreditkartennummern enthalten, und eine E-Mail-Benachrichtigung erhalten. |
| Verwenden Sie Gruppen, die auf Sicherheit ausgelegt sind Stellen Sie sicher, dass nur ausgewählte Benutzer auf vertrauliche Apps und Ressourcen zugreifen können, indem Sie sie mit Sicherheitsgruppen verwalten. Dadurch wird das Risiko von Datenlecks verringert. Bieten Sie einen sichereren Zugriff auf Daten und Ressourcen |
| Sicherheitsbedingungen zu Administratorrollen hinzufügen Erlauben Sie nur bestimmten Administratoren, Sicherheitsgruppen zu steuern. Bestimmen Sie andere Administratoren, die nur nicht sicherheitsrelevante Gruppen steuern können. Dadurch wird das Risiko von Datenlecks und böswilligen Insider-Bedrohungen verringert. |
Richten Sie privaten Zugang zu Ihren Gruppen ein Wählen Sie die Einstellung Privat, um den Zugriff auf Mitglieder Ihrer Domain zu beschränken. (Gruppenmitglieder können weiterhin E-Mails von außerhalb der Domäne empfangen.) Dadurch wird das Risiko von Datenlecks verringert . Legen Sie die Freigabeoptionen für Google Groups for Business fest | |
Beschränken Sie die Gruppenerstellung auf Administratoren Erlauben Sie nur Administratoren, Gruppen zu erstellen. Dadurch wird das Risiko von Datenlecks verringert. Legen Sie die Freigabeoptionen für Google Groups for Business fest | |
Passen Sie Ihre Gruppenzugriffseinstellungen an Empfehlungen:
Legen Sie fest, wer Inhalte anzeigen, posten und moderieren darf | |
Deaktivieren Sie einige Zugriffseinstellungen für interne Gruppen Mit den folgenden Einstellungen kann jeder im Internet der Gruppe beitreten, Nachrichten senden und die Diskussionsarchive anzeigen. Deaktivieren Sie diese Einstellungen für interne Gruppen:
| |
Aktivieren Sie die Spam-Moderation für Ihre Gruppen Sie können Nachrichten mit oder ohne Benachrichtigung der Moderatoren an die Moderationswarteschlange senden lassen, Spam-Nachrichten sofort ablehnen oder zulassen, dass die Nachrichten ohne Moderation gepostet werden. |
Teilen von Websites außerhalb der Domain blockieren Freigabeoptionen für Google Sites festlegen | Freigabeoptionen festlegen: klassisches Google Sites |
Behandeln Sie Konten mit Vault-Berechtigungen als vertraulich Schützen Sie Konten, die Vault-Administratorrollen zugewiesen sind, genauso wie Sie Super-Admin-Konten schützen. | |
Überprüfen Sie regelmäßig die Vault-Aktivität Benutzer mit Vault-Berechtigungen können die Daten anderer Benutzer suchen und exportieren sowie Aufbewahrungsregeln ändern, mit denen Daten gelöscht werden können, die Sie aufbewahren müssen. Überwachen Sie die Vault-Aktivität, um sicherzustellen, dass nur genehmigte Datenzugriffs- und Aufbewahrungsrichtlinien gelten. |
Nächste Schritte – Überwachung, Untersuchung und Behebung
Überprüfen Sie Ihre Sicherheitseinstellungen und untersuchen Sie Aktivitäten Besuchen Sie regelmäßig das Sicherheitscenter, um Ihre Sicherheitslage zu überprüfen, Vorfälle zu untersuchen und auf der Grundlage dieser Informationen Maßnahmen zu ergreifen. | |
Überprüfen Sie das Admin-Überwachungsprotokoll Verwenden Sie das Admin-Audit-Log, um einen Verlauf aller in der Google Admin-Konsole ausgeführten Aufgaben, den Administrator, der die Aufgabe ausgeführt hat, das Datum und die IP-Adresse, von der aus sich der Administrator angemeldet hat, zu überprüfen. |
No comments:
Post a Comment