Là quản trị viên, bạn có thể tăng cường bảo mật cho các phiên trực tuyến của người dùng bằng cách triển khai Thông tin xác thực phiên được liên kết với thiết bị (DBSC). DBSC được thiết kế để ngăn chặn hành vi chiếm đoạt phiên, còn được gọi là đánh cắp cookie.
Loại tấn công mạng này xảy ra khi một bên trái phép giành được quyền kiểm soát phiên hoạt động trên web của người dùng bằng cách đánh cắp cookie phiên (một tệp dữ liệu nhỏ chứa mã nhận dạng phiên duy nhất) do trang web phát hành trong quá trình đăng nhập. Bằng cách xuất trình cookie bị đánh cắp này, kẻ tấn công có thể mạo danh người dùng hợp pháp và tiếp tục phiên đã xác thực của họ.
DBSC hoạt động bằng cách liên kết phiên của người dùng với thiết bị cụ thể của họ, khiến kẻ tấn công khó sử dụng cookie bị đánh cắp trên các thiết bị khác. Bằng cách sử dụng DBSC, bạn có thể giảm nguy cơ truy cập trái phép vào tài khoản người dùng, giúp bảo vệ dữ liệu nhạy cảm của người dùng.
Yêu cầu để sử dụng DBSC
- Hiện tại, DBSC chỉ có trên trình duyệt Chrome dành cho thiết bị Windows.
- Thiết bị của người dùng phải có Mô-đun nền tảng đáng tin cậy (TPM). Đây là một thành phần phần cứng tiêu chuẩn đã có sẵn cho hầu hết các thiết bị chạy Windows 11, để lưu trữ và xử lý dữ liệu mật mã một cách an toàn. Thông thường, người dùng có thể tìm thấy thông tin về trạng thái sẵn có của TPM trong phần cài đặt hệ thống của thiết bị hoặc bằng cách tham khảo tài liệu của nhà sản xuất thiết bị.
- Người dùng phải sử dụng Chrome phiên bản 136 trở lên. Để biết thông tin chi tiết, hãy xem bài viết Cập nhật Google Chrome.
Lưu ý: Trong giai đoạn thử nghiệm beta, tính năng liên kết phiên chỉ bảo mật một số cookie của Google, tức là không phải tất cả cookie của người dùng đều được bảo mật.
Bật DBSC
Trước khi bắt đầu: Nếu cần, hãy tìm hiểu cách áp dụng chế độ cài đặt cho một bộ phận hoặc nhóm.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn
Bảo mật Quyền truy cập và kiểm soát dữ liệu Kiểm soát phiên truy cập vào Google.Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.
-
(Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).
Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm
- Đối với Thông tin xác thực phiên được liên kết với thiết bị, hãy chọn Bật DBSC.
-
Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.
Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa (hoặc Không đặt đối với nhóm).
Kết quả có thể xảy ra khi bật DBSC
Sau khi bạn bật DBSC, người dùng có thể gặp phải:
- Gián đoạn phiên – Nếu phiên của người dùng hợp lệ nhưng quá trình liên kết gặp lỗi, hệ thống sẽ yêu cầu người dùng đăng nhập lại. Điều này giúp bảo vệ tài khoản và dữ liệu của người dùng.
- Vấn đề dai dẳng – Nếu người dùng liên tục gặp vấn đề với DBSC, họ có thể thường xuyên bị đăng xuất. Trong những trường hợp như vậy, người dùng nên liên hệ với quản trị viên để được trợ giúp khắc phục sự cố, chẳng hạn như vô hiệu hoá DBSC cho tài khoản của họ. Quản trị viên có thể tạo một nhóm được miễn DBSC và thêm người dùng vào nhóm đó.
Thực thi DBSC bằng tính năng Quyền truy cập dựa trên bối cảnh
Chỉ áp dụng cho ứng dụng web trên máy tính và không áp dụng cho ứng dụng di động hoặc API
Bạn có thể tăng cường bảo mật hơn nữa bằng cách yêu cầu người dùng phải có DBSC để truy cập vào các ứng dụng cụ thể của Google Workspace. Những người dùng cố gắng truy cập vào các ứng dụng được bảo vệ mà không có phiên được liên kết với DBSC sẽ bị từ chối truy cập. Biện pháp bảo mật này được định cấu hình thông qua tính năng Quyền truy cập theo bối cảnh.
Cách thiết lập chế độ thực thi DBSC:
- Bật DBSC cho những người dùng mà bạn muốn bảo vệ. Để biết các bước, hãy xem phần Bật DBSC.
- Làm theo hướng dẫn để tạo cấp truy cập tuỳ chỉnh trong Chỉ cho phép truy cập vào các ứng dụng từ những phiên bị ràng buộc với DBSC.
- Chỉ định cấp truy cập cho những ứng dụng mà bạn muốn chỉ có các phiên bị ràng buộc bởi DBSC truy cập được ở chế độ giám sát để mô phỏng việc thực thi mà không chặn quyền truy cập của người dùng.
- Sau khi đánh giá tác động, hãy chỉ định các cấp truy cập ở chế độ đang hoạt động để chỉ cho phép truy cập bằng các phiên được liên kết với DBSC. Để biết thông tin chi tiết, hãy xem bài viết Triển khai tính năng Truy cập theo bối cảnh.
Việc thực thi DBSC không diễn ra ngay lập tức, tức là sau khi người dùng đăng nhập, sẽ có một khoảng thời gian ân hạn trước khi việc thực thi được áp dụng. Thiết kế này có thể giải quyết các vấn đề tạm thời về việc liên kết. Sau khi liên kết, hệ thống sẽ định kỳ kiểm tra xem người dùng truy cập vào các ứng dụng được chỉ định có phiên liên kết với DBSC hay không. Mọi lần xác thực lại sẽ đặt lại thời gian ân hạn này và DBSC sẽ không được thực thi trong quá trình xác thực lại đó.
Kiểm tra sự kiện trong nhật ký DBSC
Sau khi bật DBSC, bạn có thể xem xét các sự kiện trong Nhật ký người dùng để kiểm tra xem có sự kiện DBSC nào xảy ra hay không. Ví dụ: bạn có thể kiểm tra xem việc liên kết khoá DBSC có thành công hay không.
Lưu ý: Các sự kiện nhật ký DBSC chỉ hiển thị cho tài khoản chính khi nhiều tài khoản người dùng đăng nhập vào cùng một hồ sơ trình duyệt Chrome.
Cách kiểm tra xem một sự kiện có xảy ra hay không:
- Mở Sự kiện trong nhật ký người dùng.
Để biết thông tin chi tiết, hãy xem phần Sự kiện trong nhật ký người dùng. - Nhấp vào Thêm bộ lọc Sự kiện.
- Chọn một sự kiện DBSC rồi nhấp vào Áp dụng.
Để biết thông tin chi tiết về các sự kiện, hãy tham khảo bảng sau:
| Tên sự kiện | Nội dung mô tả |
| Liên kết khoá DBSC | Đã cố gắng liên kết một phiên của người dùng với thiết bị của họ. Trạng thái sự kiện cho biết Thành công hoặc Thất bại. Nếu quá trình liên kết thành công, một cặp khoá TPM mới sẽ được tạo và khoá này sẽ được liên kết với thiết bị. |
| Xác thực khoá DBSC |
Đã xảy ra lỗi khi cố gắng xác thực khoá DBSC, dẫn đến một trong các mã lỗi sau:
|
Google, Google Workspace cũng như những nhãn hiệu và biểu trưng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.