作为 Google Workspace 管理员,如果用户因可疑的会话 Cookie 而退出账号,则您可以使用电子邮件提醒来通知您。Cookie 盗用劫持(即会话劫持)是指使用在用户登录账号时生成的 Cookie 来窃取用户的会话 ID。每当检测到可疑的会话 Cookie 时,系统都会终止该会话,并让用户退出该会话所对应的账号以及该设备上的任何相关可疑会话。
当用户尝试在同一设备上重新登录时,会看到一条消息,提示他们移除恶意软件或不安全的软件。在设备上重新登录账号时,用户还必须执行额外的验证步骤。
利用安全调查工具 (SIT) 或审核和调查工具,您可以发现试图通过贵组织中的会话 Cookie 劫持用户账号的行为。
第 1 步:开始调查
方法 1:在 SIT 中调查可疑的会话 Cookie
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本-
在 Google 管理控制台中,依次点击“菜单”图标
安全性安全中心调查工具。需要拥有“安全中心”管理员权限。
- 在数据源菜单中,选择用户日志事件。
- 在添加条件菜单中,选择事件,并确保条件已设置为是(默认选项)。
- 从事件菜单中,选择用户因可疑的会话 Cookie 而退出账号。
- 点击搜索。
搜索结果会显示在页面底部。
方法 2:在“审核和调查”页面中调查可疑的会话 Cookie
-
在 Google 管理控制台中,依次点击“菜单”图标
报告审核和调查用户日志事件。需要拥有审核与调查管理员权限。
- 点击添加过滤条件,然后选择事件。
- 在弹出式窗口中,确保顶部菜单中的运算符设置为为(默认选项),从底部菜单中选择用户因为可疑的会话 Cookie 而退出账号,然后点击应用。
- 点击搜索。
日志会显示在页面底部。
第 2 步:采取行动
在说明列中,点击可疑的会话 Cookie 以打开日志详细信息面板。每条日志都显示了一位受影响的用户。与受影响的用户合作,完成移除恶意软件或不安全的软件的步骤。
保护被盗用的账号
如果您怀疑某个账号可能被盗用或劫持,那么作为管理员,您可以确保用户账号的安全。与受影响的用户合作,识别并保护被盗用的账号。