Предотвращение кражи файлов cookie с помощью привязки сессий (бета-версия)

Администратор может повысить безопасность онлайн-сессий пользователей, внедрив учетные данные сессии, привязанные к устройству (DBSC). DBSC предназначен для предотвращения перехвата сессий, также известного как кража файлов cookie.

Этот тип кибератаки происходит, когда неуполномоченное лицо получает контроль над активной веб-сессией пользователя, украв сессионный cookie-файл — часто с помощью вредоносного ПО на устройстве пользователя. Сессионный cookie-файл — это небольшой файл данных, содержащий уникальный идентификатор сессии, выданный веб-сайтом при входе в систему. Предъявив этот украденный cookie-файл, злоумышленник может выдать себя за законного пользователя и продолжить его аутентифицированную сессию.

DBSC работает путем привязки сессии пользователя к его конкретному устройству, что затрудняет злоумышленникам использование украденных cookie-файлов на других устройствах. Использование DBSC позволяет снизить риск несанкционированного доступа к учетным записям пользователей, обеспечивая безопасность конфиденциальных данных пользователей.

Требования к использованию DBSC

  • Chrome для Windows : В настоящее время DBSC доступен только в браузере Chrome для устройств Windows.
  • Аппаратная безопасность (TPM) : Устройство пользователя должно быть оснащено модулем доверенной платформы (TPM), который является стандартным аппаратным компонентом, уже доступным для большинства устройств под управлением Windows 11. Это оборудование надежно хранит криптографические ключи, используемые для привязки сеанса к устройству. Пользователи обычно могут найти информацию о доступности TPM в системных настройках своего устройства или обратившись к документации производителя устройства.
  • Версия Chrome : У пользователя должна быть установлена ​​версия Chrome 136 или более поздняя. Для получения подробной информации перейдите на страницу обновления Google Chrome .
  • Основная учетная запись : данные о защите DBSC и событиях журнала доступны только для основной учетной записи в профиле браузера Chrome.

Примечание : Привязка сессии защищает большинство файлов cookie Google, хотя некоторые файлы cookie или сессии могут остаться непривязанными.

Включите DBSC

Перед началом работы: при необходимости изучите, как применить данную методику к конкретному отделу или группе .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление сессиями Google .

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Для параметра «Учетные данные сеанса, привязанного к устройству» выберите «Включить DBSC» .
  4. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Внедрите DBSC с контекстно-зависимым доступом.

Применимо только к веб-приложениям для настольных компьютеров и не подходит для мобильных приложений или API.

Вы можете дополнительно повысить безопасность, потребовав от пользователей наличия DBSC для доступа к определенным приложениям Google Workspace. При принудительном использовании DBSC пользователям будет предложено повторно войти в систему, если система обнаружит расхождение с ранее установленной привязанной сессией. Эта повторная аутентификация позволяет системе попытаться установить новую, безопасную привязку. Пользователи на неподдерживаемых платформах будут заблокированы от доступа к защищенному приложению. Эта мера безопасности настраивается с помощью контекстно-зависимого доступа.

Для настройки принудительного применения DBSC:

  1. Включите DBSC для пользователей, которых вы хотите защитить. Инструкции см. в разделе «Включение DBSC» .
  2. Следуйте инструкциям, чтобы создать пользовательский уровень доступа в параметре «Разрешить доступ к приложениям только из сеансов, привязанных к DBSC» .
  3. Назначьте уровень доступа приложениям, к которым вы хотите разрешить доступ только сеансам, ограниченным DBSC, в режиме мониторинга , чтобы имитировать принудительное применение правил без блокировки доступа пользователей.
  4. После оценки последствий назначьте уровни доступа в активном режиме , чтобы обеспечить доступ только для сеансов, привязанных к DBSC. Подробности см. в разделе «Развертывание контекстно-зависимого доступа» .

Применение DBSC происходит не мгновенно, то есть после входа пользователя в систему предоставляется льготный период до начала применения мер принуждения. Такая конструкция учитывает потенциальные временные проблемы с привязкой. После привязки система периодически проверяет, есть ли у пользователей, обращающихся к указанным приложениям, сессии, привязанные к DBSC. Любая повторная аутентификация обнуляет этот льготный период, и DBSC не будет применяться во время этой повторной аутентификации.

Исследуйте проблемы с защитой и сессиями DBSC.

С помощью инструмента расследования инцидентов безопасности можно отслеживать работу защиты DBSC и устранять неполадки, связанные с прерыванием сеансов. Для отслеживания активности DBSC используются 2 источника журналов:

  • Журнал событий пользователя — отслеживание привязки токенов доступа к устройствам пользователей.
  • Журнал событий оценки доступа — просмотр состояния конкретных файлов cookie.

Шаг 1: Найдите активность DBSC в журнале событий пользователя.

Используйте этот источник данных, чтобы проверить, успешно ли DBSC привязывает ключи к устройствам пользователей и проверяет ли сессии.

Чтобы проверить, привязывает ли DBSC ключи:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В поле «Источник данных» выберите «События журнала пользователя» .
  3. Нажмите «Добавить условие» .
  4. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Привязка клавиш DBSC как событие.
  5. Нажмите «Поиск» .
  6. В таблице результатов просмотрите столбец «Статус события» :
    • Успешно — защита DBSC включена для пользователя, и сессия защищена.
    • Сбой — Сбой привязки DBSC, и защита для пользователя не включена.
    • Результаты отсутствуют — для данной пользовательской сессии защита DBSC не предпринималась.

Чтобы проверить, выполняет ли DBSC проверку сессий:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Нажмите «Добавить условие» .
  3. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Проверка ключа DBSC как событие.
  4. Нажмите «Поиск» .
  5. В таблице результатов просмотрите столбец «Статус события» :
    • Успешно — Файл cookie успешно проверен.
    • Сбой — Проверка DBSC завершилась неудачей. Щелкните по статусу, чтобы получить дополнительную информацию, например, код ошибки.

Одна ошибка не обязательно означает прерывание сеанса. Прерывания могут происходить, если подряд происходит несколько ошибок проверки.

Шаг 2: Проверьте наличие отказов в доступе в событиях журнала оценки доступа.

Используйте этот источник данных, чтобы узнать, был ли пользователю запрещен доступ к cookie-файлу.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В поле «Источник данных» выберите «События журнала оценки доступа» .
  3. Нажмите «Добавить условие» .
  4. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Отклонить запрос на проверку файлов cookie как событие.
  5. Нажмите «Поиск» .
  6. В таблице результатов щелкните «Отклонено» в столбце «Статус события» или ссылку в столбце «Описание» , чтобы открыть боковую панель, где вы можете просмотреть следующие причины сбоя:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

События в журнале группируются по сессиям. Для каждого пользователя регистрируется только одно событие в час, даже если в течение этого времени блокируется несколько попыток доступа.

Шаг 3: Выясните, вызваны ли прерывания сеанса программой DBSC.

Пользователи могут быть отключены от системы по различным причинам, таким как ограничения по продолжительности сеанса, политики, установленные администратором, или проблемы с сетью. Хотя отключение от системы не всегда указывает на проблему с DBSC, определенные последовательности журналов могут помочь выявить потенциальную активность, связанную с DBSC, или случаи, когда система заблокировала скомпрометированный сеанс.

Используйте эти пункты, чтобы определить действия, связанные с DBSC:

  • Проанализируйте последовательность журналов — если вы обнаружите ошибки проверки ключа DBSC, за которыми следует запрос на отказ в проверке cookie , DBSC может быть причиной выхода пользователя из системы.
  • Поймите влияние на пользователя — Для обеспечения безопасности учетной записи пользователю необходимо повторно войти в систему, если в процессе привязки возникнет ошибка.
  • Исключение пользователей из DBSC — Если пользователь постоянно выходит из системы, вы можете создать группу конфигурации, исключенную из DBSC, и добавить пользователя в эту группу, чтобы оценить, является ли DBSC причиной выходов из системы.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.