Zapobieganie kradzieży plików cookie dzięki powiązaniu sesji (wersja beta)

Jako administrator możesz zwiększyć bezpieczeństwo sesji online użytkowników, wdrażając dane uwierzytelniające sesji powiązane z urządzeniem (DBSC). DBSC ma zapobiegać przechwyceniu sesji, czyli kradzieży plików cookie.

Ten typ cyberataku ma miejsce, gdy niepowołana osoba przejmuje kontrolę nad aktywną sesją przeglądarki użytkownika, kradnąc plik cookie sesji – często za pomocą złośliwego oprogramowania na urządzeniu użytkownika. Plik cookie sesji to mały plik danych zawierający unikalny identyfikator sesji wydany przez witrynę podczas logowania. Przedstawiając ten skradziony plik cookie, atakujący może podszywać się pod prawowitego użytkownika i kontynuować uwierzytelnioną sesję.

DBSC działa przez powiązanie sesji użytkownika z jego konkretnym urządzeniem, co utrudnia atakującym używanie skradzionych plików cookie na innych urządzeniach. Dzięki DBSC możesz zmniejszyć ryzyko nieautoryzowanego dostępu do kont użytkowników, chroniąc wrażliwe dane użytkowników.

Wymagania dotyczące korzystania z DBSC

  • Chrome na Windowsa: obecnie DBSC jest dostępny tylko w przeglądarce Chrome na urządzeniach z systemem Windows.
  • Zabezpieczenia sprzętowe (TPM): urządzenie użytkownika musi mieć moduł zaufanej platformy (TPM), który jest standardowym komponentem sprzętowym dostępnym już na większości urządzeń z systemem Windows 11. Ten sprzęt bezpiecznie przechowuje klucze kryptograficzne używane do powiązania sesji z urządzeniem. Informacje o dostępności modułu TPM użytkownicy mogą zwykle znaleźć w ustawieniach systemowych urządzenia lub w dokumentacji producenta urządzenia.
  • Wersja Chrome: użytkownik musi mieć Chrome w wersji 136 lub nowszej. Więcej informacji znajdziesz w artykule Aktualizowanie Google Chrome.
  • Konto główne: ochrona DBSC i dane zdarzeń są dostępne tylko w przypadku konta głównego w profilu przeglądarki Chrome.

Uwaga: wiązanie sesji chroni większość plików cookie Google, ale niektóre pliki cookie lub sesje mogą pozostać niepowiązane.

Włączanie DBSC

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować to ustawienie w dziale lub grupie.

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Dostęp i kontrola nad nimi a potem Kontrola sesji Google.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

    Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

  3. Obok Danych uwierzytelniających sesji powiązanych z urządzeniem wybierz Włącz DBSC.
  4. Kliknij Zapisz. W przypadku jednostki organizacyjnej możesz też kliknąć Zastąp.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Wymuszanie używania DBSC za pomocą dostępu zależnego od kontekstu

Ograniczone do aplikacji internetowych na komputer i nieobowiązujące w przypadku aplikacji mobilnych lub interfejsów API

Możesz dodatkowo zwiększyć bezpieczeństwo, wymagając, żeby użytkownicy mieli DSBC w celu uzyskiwania dostępu do określonych aplikacji Google Workspace. Gdy wymuszasz używanie DBSC, użytkownicy są proszeni o ponowne zalogowanie się, jeśli system wykryje różnicę w stosunku do wcześniej ustanowionej powiązanej sesji. To ponowne uwierzytelnianie umożliwia systemowi podjęcie próby nowego, bezpiecznego powiązania. Użytkownicy na nieobsługiwanych platformach nie mają dostępu do chronionej aplikacji. To zabezpieczenie można skonfigurować za pomocą dostępu zależnego od kontekstu.

Aby skonfigurować wymuszanie DBSC:

  1. Włącz DBSC dla użytkowników, których chcesz chronić. Aby to zrobić, wykonaj czynności opisane w artykule Włączanie DBSC.
  2. Aby utworzyć niestandardowy poziom dostępu, postępuj zgodnie z instrukcjami podanymi w artykule na temat zezwalania na dostęp do aplikacji tylko z sesji związanych z DBSC.
  3. Przypisz poziom dostępu do aplikacji, do których dostęp mają mieć tylko sesje związane z DBSC, w trybie monitorowania , aby symulować wymuszania bez blokowania dostępu użytkowników.
  4. Po ocenie wpływu przypisz poziomy dostępu w trybie aktywnym, aby wymuszać dostęp tylko z sesji związanych z DBSC. Więcej informacji znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.

Wymuszanie DBSC nie jest natychmiastowe, co oznacza, że po zalogowaniu się użytkownika obowiązuje okres prolongaty, zanim zostanie zastosowane wymuszanie. Takie rozwiązanie uwzględnia potencjalne tymczasowe problemy z powiązaniem. Po powiązaniu system okresowo sprawdza, czy użytkownicy uzyskujący dostęp do określonych aplikacji mają sesje związane z DBSC. Każde ponowne uwierzytelnianie spowoduje zresetowanie tego okresu prolongaty, a DBSC nie zostanie wymuszone podczas ponownego uwierzytelniania.

Analizowanie problemów z ochroną DBSC i sesjami

Za pomocą narzędzia do analizy zagrożeń możesz monitorować ochronę DBSC i rozwiązywać problemy z przerwami w sesjach. Istnieją 2 źródła dzienników aktywności DBSC:

  • Zdarzenia w dzienniku użytkownika – monitoruj powiązanie tokenów dostępu z urządzeniami użytkowników.
  • Zdarzenia z dziennika oceny dostępu – sprawdzaj stan konkretnych plików cookie.

Krok 1. Wyszukaj aktywność DBSC w zdarzeniach w dzienniku użytkownika

Użyj tego źródła danych, aby sprawdzić, czy DBSC prawidłowo wiąże klucze z urządzeniami użytkowników i weryfikuje sesje.

Aby sprawdzić, czy DBSC wiąże klucze:

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia w dzienniku użytkownika.
  3. Kliknij Dodaj warunek.
  4. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Powiązanie klucza DBSC.
  5. Kliknij Szukaj.
  6. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Udało się—ochrona DBSC jest włączona dla użytkownika, a sesja jest chroniona.
    • Niepowodzenie – powiązanie DBSC nie powiodło się, a ochrona nie jest włączona dla użytkownika.
    • Brak wyników – ochrona DBSC nie została zastosowana w przypadku tej sesji użytkownika.

Aby sprawdzić, czy DBSC weryfikuje sesje:

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Dodaj warunek.
  3. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Weryfikacja klucza DBSC.
  4. Kliknij Szukaj.
  5. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Udało się – plik cookie został zweryfikowany.
    • Nie udało się – weryfikacja DBSC nie powiodła się. Kliknij stan aby uzyskać dodatkowe informacje, np. kod błędu.

Pojedynczy błąd nie musi oznaczać, że użytkownik ma problemy z sesją z przerwami. Użytkownicy mogą mieć problemy, jeśli wystąpi kilka kolejnych błędów weryfikacji.

Krok 2. Sprawdź, czy w zdarzeniach z dziennika oceny dostępu nie ma odmów dostępu

Użyj tego źródła danych, aby sprawdzić, czy plik cookie użytkownika został odrzucony dostęp.

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia z dziennika oceny dostępu.
  3. Kliknij Dodaj warunek.
  4. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Odmowa żądania weryfikacji pliku cookie.
  5. Kliknij Szukaj.
  6. W tabeli wyników kliknij Odmowa w kolumnie Stan zdarzenia lub link w kolumnie Opis , aby otworzyć panel boczny, w którym możesz sprawdzić te przyczyny niepowodzenia:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Zdarzenia w dzienniku są grupowane według sesji. Co godzinę rejestrowane jest tylko jedno zdarzenie na użytkownika, nawet jeśli w tym czasie zablokowanych zostanie kilka prób dostępu.

Krok 3. Sprawdź, czy przerwy w sesjach są spowodowane przez DBSC

Użytkownicy mogą zostać wylogowani z różnych powodów, np. z powodu limitów długości sesji zasad określonych przez administratora lub problemów z siecią. Wylogowanie nie zawsze oznacza problem z DBSC, ale konkretne sekwencje w dzienniku mogą pomóc w zidentyfikowaniu potencjalnej aktywności związanej z DBSC lub przypadków, w których system zablokował naruszoną sesję.

Aby zidentyfikować aktywność związaną z DBSC, skorzystaj z tych wskazówek:

  • Sprawdź sekwencje w dzienniku – jeśli znajdziesz błędy weryfikacji klucza DBSC, po których nastąpi odmowa żądania weryfikacji pliku cookie, przyczyną wylogowania użytkownika może być DBSC.
  • Zrozum wpływ na użytkownika – aby chronić konto, użytkownik musi zalogować się ponownie, jeśli podczas procesu powiązania wystąpi błąd.
  • Wyłącz DBSC dla użytkowników – jeśli użytkownik jest stale wylogowywany, możesz utworzyć grupę konfiguracji, która nie jest objęta DBSC, i dodać do niej użytkownika, aby sprawdzić, czy przyczyną wylogowań jest DBSC.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.