用工作階段繫結功能防止 Cookie 遭竊 (Beta 版)

身為系統管理員,您可以運用裝置綁定工作階段憑證 (DBSC),進一步保障使用者線上工作階段的安全。DBSC 旨在防範工作階段駭客攻擊 (也稱為 Cookie 盜用)。

這類網路攻擊發生時,未經授權的對象會盜用使用者在登入期間由網站發出的工作階段 Cookie (通常是透過使用者裝置上的惡意軟體),進而取得使用者目前網頁工作階段的控制權。工作階段 Cookie 是內含不重複工作階段 ID 的小型資料檔案,由網站在登入期間發出。攻擊者只要出示遭盜用的 Cookie,就能冒用合法使用者的身分,並繼續已通過驗證的工作階段。

DBSC 會將使用者的工作階段繫結至特定裝置,讓攻擊者難以在其他裝置上使用遭盜用的 Cookie。如此一來,便能降低使用者帳戶遭未經授權存取的風險,確保機密使用者資料安全無虞。

DBSC 的使用規定

  • Windows 版 Chrome:目前 DBSC 僅適用於 Windows 裝置上的 Chrome 瀏覽器。
  • 硬體安全性 (TPM):使用者的裝置必須具備信任平台模組 (TPM)。多數搭載 Windows 11 的裝置均已配備這個標準硬體元件。這項硬體會安全地儲存用於將工作階段繫結至裝置的加密金鑰。使用者通常可在裝置的系統設定或製造商說明文件中,找到 TPM 可用性相關資訊。
  • Chrome 版本:使用者的 Chrome 瀏覽器需為 136 以上版本。如需詳細資料,請參閱「更新 Google Chrome」。
  • 主要帳戶:只有 Chrome 瀏覽器設定檔中的主要帳戶,才能使用 DBSC 保護功能和記錄事件資料。

注意:工作階段繫結功能會保護大多數 Google Cookie,但部分 Cookie 或工作階段可能仍未繫結。

開啟 DBSC

事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「存取權與資料控管」接下來「Google 工作階段控制設定」

    必須具備安全性設定管理員權限。

  2. (選用) 如果只要對部分使用者套用設定,請在側邊選取「組織單位」 (通常就是指部門) 或「配置群組」 (這是更進階的設定)。

    群組設定會覆寫組織單位。瞭解詳情

  3. 在「裝置繫結工作階段憑證」部分,選取「啟用 DBSC」
  4. 按一下「儲存」。如果是組織單位,您也可以按一下「覆寫」

    如果日後要還原沿用的值,請按一下「沿用」(如為群組,請點選「取消設定」)。

透過情境感知存取權強制執行 DBSC

僅限電腦版網頁應用程式,不適用於行動應用程式或 API

您可以規定使用者必須啟用 DBSC,才能存取特定 Google Workspace 應用程式,進一步加強安全防護。強制執行 DBSC 時,如果系統偵測到與先前建立的繫結工作階段有差異,就會提示使用者重新登入。重新驗證後,系統會嘗試建立新的安全繫結。如果使用者透過不支援的平台存取受保護的應用程式,系統會封鎖存取權。這項安全措施需透過情境感知存取權設定。

如何設定強制執行 DBSC:

  1. 幫要保護的使用者啟用 DBSC。如需詳細步驟,請參閱「啟用 DBSC」。
  2. 請按照「僅允許透過 DBSC 繫結工作階段存取應用程式」的說明,建立自訂存取層級。
  3. 在「監控模式」中,將存取層級指派給您希望只允許 DBSC 繫結工作階段存取的應用程式,即可模擬強制執行的效果,而不必實際封鎖使用者存取權。
  4. 評估影響後,請在「正常模式」中指派存取層級,強制要求只有 DBSC 繫結工作階段才能存取。詳情請參閱「部署情境感知存取權」。

系統不會立即強制執行 DBSC。也就是說,使用者登入後會有一段寬限期,之後這項機制才會強制執行。這項設計是為了應對繫結時可能暫時出現的問題。繫結完成後,系統會定期檢查使用者存取指定應用程式時,所用工作階段是否已完成 DBSC 繫結。只要重新驗證,寬限期就會重新計算,期間不會強制執行 DBSC。

調查 DBSC 保護和工作階段問題

您可以使用安全調查工具監控 DBSC 保護機制,並排解工作階段中斷問題。DBSC 活動有 2 個記錄來源:

  • 使用者記錄事件:監控存取權杖與使用者裝置的繫結情形。
  • 「存取權評估」記錄事件:查看特定 Cookie 的狀態。

步驟 1:在使用者記錄事件中搜尋 DBSC 活動

使用這個資料來源,查看 DBSC 是否成功將金鑰繫結至使用者裝置,並驗證工作階段。

如要檢查 DBSC 是否繫結金鑰:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」,然後選取「使用者記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰繫結」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,查看「活動狀態」欄:
    • 成功:已為使用者啟用 DBSC 保護機制,且工作階段受到保護。
    • 失敗:DBSC 繫結失敗,且未為使用者啟用保護措施。
    • 沒有結果:這個使用者工作階段未嘗試使用 DBSC 保護機制。

如何檢查 DBSC 是否正在驗證工作階段:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 按一下「新增條件」
  3. 在「屬性」部分,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰驗證」做為事件。
  4. 按一下 [搜尋]
  5. 在結果表格中,查看「活動狀態」欄:
    • 成功:已成功驗證 Cookie。
    • 失敗:DBSC 驗證失敗。按一下狀態即可查看詳細資訊,例如錯誤代碼。

一次失敗不一定表示使用者工作階段中斷。如果連續發生多次驗證失敗,使用者可能會遭到中斷。

步驟 2:在存取權評估記錄事件中檢查存取遭拒的情況

使用這個資料來源,查看使用者是否拒絕存取 Cookie。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」,然後選取「存取權評估記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「拒絕 Cookie 驗證要求」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,按一下「事件狀態」欄中的「已拒絕」,或「說明」欄中的連結,開啟側邊面板,查看下列失敗原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

記錄事件會按工作階段分組。即使在該時段內多次嘗試存取遭封鎖,系統每小時也只會記錄一次事件。

步驟 3:調查 DBSC 是否導致工作階段中斷

使用者可能會因為各種原因登出,例如工作階段長度限制、管理員定義的政策或網路問題。雖然登出不一定表示 DBSC 有問題,但特定記錄序列有助於找出可能與 DBSC 相關的活動,或是系統封鎖遭入侵工作階段的案例。

請根據下列幾點判斷是否為 DBSC 相關活動:

  • 查看記錄序列:如果發現 DBSC 金鑰驗證失敗,接著出現「拒絕 Cookie 驗證要求」,則使用者登出可能是 DBSC 導致。
  • 瞭解對使用者的影響:為確保帳戶安全,如果繫結程序發生錯誤,使用者必須重新登入。
  • 免除使用者啟用 DBSC:如果使用者經常遭到登出,您可以建立免除啟用 DBSC 的配置群組,然後將使用者加入該群組,評估是否為 DBSC 導致登出。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。