Усі дії, згадані в цьому розділі, які змінюють налаштування, генеруватимуть сповіщення про безпеку на електронну пошту та навіть push-сповіщення на будь-який мобільний пристрій, синхронізований з обліковим записом.
Persistence in Gmail
Ви можете створити фільтри, щоб приховати сповіщення про безпеку від Google
Введіть свої критерії пошуку. Якщо ви хочете перевірити, чи правильно спрацював ваш пошук, подивіться, які електронні листи з'являються, натиснувши Пошук.
У нижній частині вікна пошуку натисніть Створити фільтр.
Потім налаштуйте пересилання всіх електронних листів, зберігаючи копію (не забудьте натиснути зберегти зміни):
Також можливо створити фільтри та пересилати лише певні електронні листи на іншу електронну адресу.
App passwords
Якщо вам вдалося зламати сесію користувача Google і у користувача була 2FA, ви можете згенеруватипароль програми (перейдіть за посиланням, щоб побачити кроки). Зверніть увагу, що Паролі програм більше не рекомендуються Google і відкликаються, коли користувач змінює пароль свого облікового запису Google.
Навіть якщо у вас відкрита сесія, вам потрібно знати пароль користувача, щоб створити пароль програми.
Паролі програм можуть використовуватися лише з обліковими записами, у яких увімкнено двоетапну перевірку.
Change 2-FA and similar
Також можливо вимкнути 2-FA або зареєструвати новий пристрій (або номер телефону) на цій сторінці https://myaccount.google.com/security.Також можливо згенерувати ключі доступу (додати свій пристрій), змінити пароль, додати мобільні номери для телефонів перевірки та відновлення, змінити електронну пошту для відновлення та змінити запитання безпеки).
Щоб запобігти сповіщенням про безпеку на телефоні користувача, ви можете вийти з його смартфона (хоча це буде дивно), оскільки ви не можете знову увійти з цього місця.
Також можливо знайти пристрій.
Навіть якщо у вас відкрита сесія, вам потрібно знати пароль користувача, щоб змінити ці налаштування.
Persistence via OAuth Apps
Якщо ви зламали обліковий запис користувача, ви можете просто прийняти надання всіх можливих дозволів OAuth App. Єдина проблема в тому, що Workspace може бути налаштований на заборону не перевірених зовнішніх та/або внутрішніх OAuth додатків.
Досить поширено, що організації Workspace за замовчуванням не довіряють зовнішнім OAuth додаткам, але довіряють внутрішнім, тому, якщо у вас є достатні дозволи для створення нового OAuth додатку всередині організації, а зовнішні додатки заборонені, створіть його та використовуйте цей новий внутрішній OAuth додаток для підтримки постійності.
Перевірте наступну сторінку для отримання додаткової інформації про OAuth Apps:
Persistence via delegation
Ви можете просто делегувати обліковий запис на інший обліковий запис, контрольований зловмисником (якщо вам дозволено це робити). У Workspace Організаціях ця опція повинна бути увімкнена. Вона може бути вимкнена для всіх, увімкнена для деяких користувачів/груп або для всіх (зазвичай вона лише увімкнена для деяких користувачів/груп або повністю вимкнена).
If you are a Workspace admin check this to enable the feature
Як адміністратор вашої організації (наприклад, вашої роботи або школи), ви контролюєте, чи можуть користувачі делегувати доступ до свого облікового запису Gmail. Ви можете дозволити всім мати можливість делегувати свій обліковий запис. Або ж дозволити лише людям з певних відділів налаштувати делегування. Наприклад, ви можете:
Додати адміністративного асистента як делегата на свій обліковий запис Gmail, щоб вони могли читати та надсилати електронні листи від вашого імені.
Додати групу, таку як ваш відділ продажів, у Групи як делегата, щоб надати всім доступ до одного облікового запису Gmail.
Користувачі можуть делегувати доступ лише іншому користувачеві в тій же організації, незалежно від їх домену або організаційної одиниці.
Delegation limits & restrictions
Дозволити користувачам надавати доступ до своєї поштової скриньки Google групі опція: Щоб використовувати цю опцію, вона повинна бути увімкнена для ОУ делегованого облікового запису та для кожного члена групи ОУ. Члени групи, які належать до ОУ без увімкненої цієї опції, не можуть отримати доступ до делегованого облікового запису.
При звичайному використанні 40 делегованих користувачів можуть одночасно отримувати доступ до облікового запису Gmail. Вище середнього використання одним або кількома делегатами може зменшити цю кількість.
Автоматизовані процеси, які часто отримують доступ до Gmail, також можуть зменшити кількість делегатів, які можуть одночасно отримати доступ до облікового запису. Ці процеси включають API або розширення браузера, які часто отримують доступ до Gmail.
Один обліковий запис Gmail підтримує до 1,000 унікальних делегатів. Група в Групах вважається одним делегатом у межах ліміту.
Делегування не збільшує ліміти для облікового запису Gmail. Облікові записи Gmail з делегованими користувачами мають стандартні ліміти та політики облікового запису Gmail. Для отримання додаткової інформації відвідайте Gmail limits and policies.
Step 1: Turn on Gmail delegation for your users
Перед початком: Щоб застосувати налаштування для певних користувачів, помістіть їхні облікові записи в організаційну одиницю.
Показати власника облікового запису та делегата, який надіслав електронний лист—Повідомлення включають адреси електронної пошти власника облікового запису Gmail та делегата.
Показати лише власника облікового запису—Повідомлення включають адресу електронної пошти лише власника облікового запису Gmail. Адреса електронної пошти делегата не включена.
(Необов'язково) Щоб дозволити користувачам додати групу в Групи як делегата, поставте галочку в полі Дозволити користувачам надавати доступ до своїх поштових скриньок Google групі.
Натисніть Зберегти. Якщо ви налаштували дочірню організаційну одиницю, ви можете успадкувати або перезаписати налаштування батьківської організаційної одиниці.
(Необов'язково) Щоб увімкнути делегування Gmail для інших організаційних одиниць, повторіть кроки 3–9.
Зміни можуть зайняти до 24 годин, але зазвичай відбуваються швидше. Дізнайтеся більше
Step 2: Have users set up delegates for their accounts
Після того, як ви ввімкнули делегування, ваші користувачі переходять до налаштувань Gmail, щоб призначити делегатів. Делегати можуть читати, надсилати та отримувати повідомлення від імені користувача.
Якщо ви використовуєте Gmail через свою роботу, школу або іншу організацію:
Ви можете додати до 1000 делегатів у межах вашої організації.
При звичайному використанні 40 делегатів можуть одночасно отримувати доступ до облікового запису Gmail.
Якщо ви використовуєте автоматизовані процеси, такі як API або розширення браузера, кілька делегатів можуть одночасно отримувати доступ до облікового запису Gmail.
На своєму комп'ютері відкрийте Gmail. Ви не можете додати делегатів з програми Gmail.
Натисніть вкладку Облікові записи та імпорт або Облікові записи.
У розділі "Надати доступ до свого облікового запису" натисніть Додати інший обліковий запис. Якщо ви використовуєте Gmail через свою роботу або школу, ваша організація може обмежити делегування електронної пошти. Якщо ви не бачите цього налаштування, зв'яжіться з адміністратором.
Якщо ви не бачите "Надати доступ до свого облікового запису", то це обмежено.
Введіть адресу електронної пошти особи, яку ви хочете додати. Якщо ви використовуєте Gmail через свою роботу, школу або іншу організацію, і ваш адміністратор це дозволяє, ви можете ввести адресу електронної пошти групи. Ця група повинна мати той же домен, що й ваша організація. Зовнішнім членам групи відмовлено в доступі до делегування.
Важливо: Якщо обліковий запис, який ви делегуєте, є новим обліковим записом або пароль був скинутий, адміністратор повинен вимкнути вимогу змінити пароль, коли ви вперше входите.
Людина, яку ви додали, отримає електронний лист з проханням підтвердити. Запрошення закінчує свою дію через тиждень.
Якщо ви додали групу, усі члени групи стануть делегатами без необхідності підтвердження.
Примітка: Може знадобитися до 24 годин, щоб делегування почало діяти.
Persistence via Android App
Якщо у вас є сесія в обліковому записі Google жертви, ви можете перейти до Play Store і, можливо, зможете встановити шкідливе ПЗ, яке ви вже завантажили в магазин, безпосередньо на телефон, щоб підтримувати постійність і отримати доступ до телефону жертви.
Persistence via App Scripts
Ви можете створити тригери на основі часу в App Scripts, тому, якщо App Script буде прийнято користувачем, він буде запущений навіть без доступу користувача. Для отримання додаткової інформації про те, як це зробити, перевірте:
У полі пошуку вгорі натисніть Показати параметри пошуку .
Увійдіть, використовуючи обліковий запис адміністратора, а не свій поточний обліковий запис CarlosPolop@gmail.com 2. У консолі адміністратора перейдіть до Меню ДодаткиGoogle WorkspaceGmailНалаштування користувача. 3. Щоб застосувати налаштування для всіх, залиште вибраною верхню організаційну одиницю. В іншому випадку виберіть дочірню організаційну одиницю. 4. Натисніть Делегування пошти. 5. Поставте галочку в полі Дозволити користувачам делегувати доступ до своїх поштових скриньок іншим користувачам у домені. 6. (Необов'язково) Щоб дозволити користувачам вказати, яка інформація про відправника включена в делеговані повідомлення, поставте галочку в полі Дозволити користувачам налаштувати це налаштування. 7. Виберіть опцію для інформації про відправника за замовчуванням, яка включена в повідомлення, надіслані делегатами:
У правому верхньому куті натисніть Налаштування Переглянути всі налаштування.
6. Натисніть Наступний крокНадіслати електронний лист для надання доступу.
