前言

多重要素驗證 (MFA) 的實施

1. 重要性：MFA 是防止帳號外洩最有效的方法之一，因為它在密碼之外增加了一層保護，能有效抵禦網路釣魚和密碼猜測等攻擊 。美國網路安全和基礎設施安全局 (CISA) 的報告指出，啟用 MFA 的帳號被駭客入侵的可能性降低 99% 。
2. 常見錯誤組態：有些組織雖然啟用了 MFA，但沒有強制所有使用者都開啟，或者允許使用者有很長的註冊寬限期，導致許多人從未真正啟用 MFA 。此外，依賴簡訊或語音通話等較弱的第二要素驗證方式，也比使用驗證器應用程式或安全金鑰更容易受到 SIM 卡劫持和社交工程攻擊 。
3. 最佳實踐：應強制所有帳號啟用 MFA，特別是管理員帳號 。建議在管理控制台中啟用 MFA，並排除較弱的驗證方式，只允許使用更安全的驗證器應用程式或安全金鑰 。對於最敏感的帳號，甚至可以要求使用安全金鑰，以提供最高的防網路釣魚保護 。此外，也應對使用者進行教育訓練，讓他們了解為何需要以及如何使用 MFA 。

Google 雲端硬碟的公開分享風險

1. 重要性：Google 雲端硬碟的檔案分享功能雖然方便，但若設定為「知道連結的任何人」皆可存取，則無需驗證即可查看檔案，這對於非敏感文件或許無妨，但若用於敏感資料則可能造成災難性的後果 。
2. 常見錯誤組態：最常見的錯誤是將本應為內部使用的檔案設定為「知道連結的任何人皆可檢視」 。這可能是因為員工為了方便，不確定誰需要存取，或是想避免處理權限申請 。
3. 最佳實踐：IT 管理員應主動管理分享設定，以防止資料意外外洩 。強烈建議完全停用「知道連結的任何人」這個選項 。如果組織確實需要公開分享功能，則應限制只有特定的部門或群組才能使用，並且強制實施審批流程 。此外，應定期審核公開分享的檔案 。應教育使用者採取最小權限原則，只與需要存取檔案的特定使用者或群組分享，而非使用廣泛的公開連結 。

針對高權限帳號的進階保護計畫 (APP)

1. 重要性：進階保護計畫 (APP) 是 Google 提供的免費服務，為帳號提供最強大的安全設定 。它專為抵禦針對性攻擊、網路釣魚和帳號劫持而設計，特別適合保護超級管理員或高階主管等高價值帳號 。
2. APP 的功能：APP 會強制執行一系列強化的安全措施，例如：

• 最強大的雙重驗證：要求使用安全金鑰或通行金鑰，提供防網路釣魚的 MFA 保護 。
• 限制第三方應用程式存取：除非應用程式經組織明確列入白名單，否則 APP 會自動阻擋不可信的第三方應用程式存取 Google 資料 。
• 強化威脅掃描：對 APP 帳號的收件郵件、附件和下載進行更嚴格的網路釣魚與惡意軟體檢查 。
• 嚴格的帳號復原：為防止攻擊者利用帳號復原程序作為後門，APP 會讓復原過程更加嚴謹，需要額外的驗證步驟與時間 。

密碼強度政策

1. 重要性：儘管有 MFA 等技術，強密碼仍然是帳號安全的基本要求 。密碼是第一道防線，如果密碼太弱或被盜，其他安全措施也可能失效 。
2. 常見錯誤組態：最常見的錯誤是未啟用 Google Workspace 的密碼政策，導致使用者可以設定非常簡單的密碼 。例如，未設定密碼最短長度，或允許使用者重複使用舊密碼 。另一個問題是沒有強制要求現有密碼符合新政策，導致使用者可以繼續使用弱密碼，直到他們自行更改為止 。
3. 最佳實踐：應在管理控制台中啟用「強制使用強密碼」，並設定密碼最短長度（建議至少 8-12 個字元）。確保「允許重複使用密碼」的選項未被勾選，以防止使用者重複使用少數幾個密碼 。若有需要，可以設定密碼過期時間，例如 90 天 。此外，部署新政策時，應選擇「在下次登入時強制執行」，以確保所有使用者都必須立即更新密碼 。

Google 群組的無限制存取

1. 重要性：Google 群組常用於郵件列表、團隊討論和權限管理，但設定錯誤可能意外洩露機密資訊 。
2. 常見錯誤組態：未受限制的群組可能允許網路上任何人加入或查看訊息，或者自由加入外部成員 。例如，如果群組的存取權設定為「網路上公開」，所有訊息（包括內部郵件或文件）都可能被任何人閱讀 。
3. 最佳實踐：應審核所有 Google 群組的隱私設定 。內部討論群組的查看權限應設為「私人 – 只有群組成員」才能查看 。對於敏感群組，「誰可以加入」應設為「僅限邀請」 。也應限制誰可以發布訊息，防止外部垃圾郵件或網路釣魚攻擊 。對於必須包含外部成員的群組，應允許外部成員加入，但不能將其設為公開 。此外，應定期審核群組設定，並教育群組擁有者了解相關風險 。