Wszystkie działania wymienione w tej sekcji, które zmieniają ustawienia, spowodują alert bezpieczeństwa na e-mail i nawet powiadomienie push na dowolne zsynchronizowane urządzenie mobilne z kontem.
Wytrwałość w Gmailu
Możesz utworzyć filtry, aby ukryć powiadomienia o bezpieczeństwie od Google
To uniemożliwi dotarcie e-maili z powiadomieniami o bezpieczeństwie do skrzynki e-mailowej (ale nie uniemożliwi powiadomień push na urządzenie mobilne)
Następnie ustaw przekazywanie wszystkich e-maili, zachowując kopię (pamiętaj, aby kliknąć Zapisz zmiany):
Możliwe jest również tworzenie filtrów i przekazywanie tylko określonych e-maili na inny adres e-mail.
Hasła aplikacji
Jeśli udało ci się skompromitować sesję użytkownika Google i użytkownik miał 2FA, możesz wygenerowaćhasło aplikacji (zajrzyj pod link, aby zobaczyć kroki). Zauważ, że Hasła aplikacji nie są już zalecane przez Google i są odwoływane, gdy użytkownik zmienia hasło do konta Google.
Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby utworzyć hasło aplikacji.
Hasła aplikacji można używać tylko z kontami, na których włączona jest weryfikacja dwuetapowa.
Zmiana 2-FA i podobne
Możliwe jest również wyłączenie 2-FA lub zarejestrowanie nowego urządzenia (lub numeru telefonu) na tej stronie https://myaccount.google.com/security.Możliwe jest również generowanie kluczy dostępu (dodawanie własnego urządzenia), zmiana hasła, dodawanie numerów telefonów do weryfikacji telefonów i odzyskiwania, zmiana e-maila odzyskiwania oraz zmiana pytań zabezpieczających).
Aby zapobiec dotarciu powiadomień push o bezpieczeństwie do telefonu użytkownika, możesz wylogować jego smartfon (choć byłoby to dziwne), ponieważ nie możesz zalogować go ponownie stąd.
Możliwe jest również lokalizowanie urządzenia.
Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby zmienić te ustawienia.
Wytrwałość za pomocą aplikacji OAuth
Jeśli skompromitowałeś konto użytkownika, możesz po prostu zaakceptować udzielenie wszystkich możliwych uprawnień aplikacji OAuth. Jedynym problemem jest to, że Workspace może być skonfigurowane, aby nie zezwalać na niezweryfikowane zewnętrzne i/lub wewnętrzne aplikacje OAuth.
Jest dość powszechne, że Organizacje Workspace domyślnie nie ufają zewnętrznym aplikacjom OAuth, ale ufają wewnętrznym, więc jeśli masz wystarczające uprawnienia do wygenerowania nowej aplikacji OAuth wewnątrz organizacji i aplikacje zewnętrzne są niedozwolone, wygeneruj ją i użyj tej nowej wewnętrznej aplikacji OAuth do utrzymania wytrwałości.
Sprawdź następującą stronę, aby uzyskać więcej informacji na temat aplikacji OAuth:
Możesz po prostu delegować konto do innego konta kontrolowanego przez atakującego (jeśli masz na to zezwolenie). W Organizacjach Workspace ta opcja musi być włączona. Może być wyłączona dla wszystkich, włączona dla niektórych użytkowników/grup lub dla wszystkich (zazwyczaj jest włączona tylko dla niektórych użytkowników/grup lub całkowicie wyłączona).
Jeśli jesteś administratorem Workspace, sprawdź to, aby włączyć funkcję
Jako administrator dla swojej organizacji (na przykład twojej pracy lub szkoły), kontrolujesz, czy użytkownicy mogą delegować dostęp do swojego konta Gmail. Możesz pozwolić wszystkim na opcję delegowania swojego konta. Lub pozwól tylko osobom z określonych działów skonfigurować delegację. Na przykład, możesz:
Dodać asystenta administracyjnego jako delegata do swojego konta Gmail, aby mógł czytać i wysyłać e-maile w twoim imieniu.
Dodać grupę, taką jak dział sprzedaży, w Grupach jako delegata, aby dać wszystkim dostęp do jednego konta Gmail.
Użytkownicy mogą delegować dostęp tylko do innego użytkownika w tej samej organizacji, niezależnie od ich domeny lub jednostki organizacyjnej.
Limity i ograniczenia delegacji
Opcja Zezwalaj użytkownikom na udzielanie dostępu do swojej skrzynki pocztowej grupie Google: Aby skorzystać z tej opcji, musi być włączona dla OU konta delegowanego i dla OU każdego członka grupy. Członkowie grupy należący do OU, w którym ta opcja nie jest włączona, nie mogą uzyskać dostępu do konta delegowanego.
W typowym użyciu, 40 użytkowników delegowanych może uzyskać dostęp do konta Gmail jednocześnie. Powyżejprzeciętnego użycia przez jednego lub więcej delegatów może to ograniczyć liczbę.
Procesy automatyczne, które często uzyskują dostęp do Gmaila, mogą również zmniejszyć liczbę delegatów, którzy mogą uzyskać dostęp do konta jednocześnie. Procesy te obejmują interfejsy API lub rozszerzenia przeglądarki, które często uzyskują dostęp do Gmaila.
Jedno konto Gmail obsługuje do 1 000 unikalnych delegatów. Grupa w Grupach liczy się jako jeden delegat wobec limitu.
Delegacja nie zwiększa limitów konta Gmail. Konta Gmail z użytkownikami delegowanymi mają standardowe limity i zasady konta Gmail. Aby uzyskać szczegóły, odwiedź Limity i zasady Gmaila.
Krok 1: Włącz delegowanie Gmail dla swoich użytkowników
Zanim zaczniesz: Aby zastosować ustawienie dla określonych użytkowników, umieść ich konta w jednostce organizacyjnej.
Pokaż właściciela konta i delegata, który wysłał e-mail—Wiadomości zawierają adresy e-mail właściciela konta Gmail i delegata.
Pokaż tylko właściciela konta—Wiadomości zawierają adres e-mail tylko właściciela konta Gmail. Adres e-mail delegata nie jest uwzględniony.
(Opcjonalnie) Aby umożliwić użytkownikom dodanie grupy w Grupach jako delegata, zaznacz pole Zezwalaj użytkownikom na udzielenie dostępu do swojej skrzynki pocztowej grupie Google.
Kliknij Zapisz. Jeśli skonfigurowałeś jednostkę organizacyjną podrzędną, możesz Odziedzicz lub Zastąp ustawienia jednostki organizacyjnej nadrzędnej.
(Opcjonalnie) Aby włączyć delegowanie Gmail dla innych jednostek organizacyjnych, powtórz kroki 3–9.
Zmiany mogą zająć do 24 godzin, ale zazwyczaj zachodzą szybciej. Dowiedz się więcej
Krok 2: Umożliw użytkownikom ustawienie delegatów dla swoich kont
Po włączeniu delegowania, twoi użytkownicy przechodzą do ustawień Gmail, aby przypisać delegatów. Delegaci mogą wtedy czytać, wysyłać i odbierać wiadomości w imieniu użytkownika.
W polu wyszukiwania na górze kliknij Pokaż opcje wyszukiwania .
Zaloguj się za pomocą konta administratora, a nie swojego bieżącego konta CarlosPolop@gmail.com 2. W konsoli administratora przejdź do Menu AplikacjeGoogle WorkspaceGmailUstawienia użytkownika. 3. Aby zastosować ustawienie dla wszystkich, pozostaw wybraną najwyższą jednostkę organizacyjną. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną. 4. Kliknij Delegowanie poczty. 5. Zaznacz pole Pozwól użytkownikom delegować dostęp do swojej skrzynki pocztowej innym użytkownikom w domenie. 6. (Opcjonalnie) Aby umożliwić użytkownikom określenie, jakie informacje o nadawcy są zawarte w delegowanych wiadomościach wysyłanych z ich konta, zaznacz pole Zezwalaj użytkownikom na dostosowanie tego ustawienia. 7. Wybierz opcję dla domyślnych informacji o nadawcy zawartych w wiadomościach wysyłanych przez delegatów:
