用工作階段繫結功能防止 Cookie 遭竊 (Beta 版)

身為系統管理員,您可以運用裝置綁定工作階段憑證 (DBSC),進一步保障使用者線上工作階段的安全。DBSC 旨在防範工作階段駭客攻擊 (也稱為 Cookie 盜用)。

這類網路攻擊發生時,未經授權的對象會盜用使用者在登入期間由網站發出的工作階段 Cookie (通常是透過使用者裝置上的惡意軟體),進而取得使用者目前網頁工作階段的控制權。工作階段 Cookie 是內含不重複工作階段 ID 的小型資料檔案,由網站在登入期間發出。攻擊者只要出示遭盜用的 Cookie,就能冒用合法使用者的身分,並繼續已通過驗證的工作階段。

DBSC 會將使用者的工作階段繫結至特定裝置,讓攻擊者難以在其他裝置上使用遭盜用的 Cookie。如此一來,便能降低使用者帳戶遭未經授權存取的風險,確保機密使用者資料安全無虞。

DBSC 的使用規定

  • Windows 版 Chrome:目前 DBSC 僅適用於 Windows 裝置上的 Chrome 瀏覽器。
  • 硬體安全性 (TPM):使用者的裝置必須具備信任平台模組 (TPM)。多數搭載 Windows 11 的裝置均已配備這個標準硬體元件,這項硬體會安全地儲存用於將工作階段繫結至裝置的加密金鑰。使用者通常可在裝置的系統設定或製造商說明文件中,找到 TPM 可用性相關資訊。
  • Chrome 版本:使用者的 Chrome 瀏覽器需為 136 以上版本。如需詳細資料,請參閱「更新 Google Chrome」。
  • 主要帳戶:只有 Chrome 瀏覽器設定檔中的主要帳戶,才能使用 DBSC 保護功能和記錄事件資料。

注意:工作階段繫結功能會保護大多數 Google Cookie,但部分 Cookie 或工作階段可能仍未繫結。

開啟 DBSC

事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「存取權與資料控管」 接下來「Google 工作階段控制設定」

    必須具備安全性設定管理員權限。

  2. (選用) 如果只要對部分使用者套用設定,請在側邊選取「組織單位」 (通常就是指部門) 或「配置群組」 (這是更進階的設定)。

    群組設定會覆寫組織單位。瞭解詳情

  3. 在「裝置繫結工作階段憑證」部分,選取「啟用 DBSC」
  4. 按一下「儲存」。如果是組織單位,您也可以按一下「覆寫」

    如果日後要還原沿用的值,請按一下「沿用」(如為群組,請點選「取消設定」)。

透過情境感知存取權強制執行 DBSC

僅限電腦版網頁應用程式,不適用於行動應用程式或 API

您可以規定使用者必須啟用 DBSC,才能存取特定 Google Workspace 應用程式,進一步加強安全防護。強制執行 DBSC 時,如果系統偵測到與先前建立的繫結工作階段有差異,就會提示使用者重新登入。重新驗證後,系統會嘗試建立新的安全繫結。如果使用者透過不支援的平台存取受保護的應用程式,系統會封鎖存取權。這項安全措施需透過情境感知存取權設定。

如何設定強制執行 DBSC:

  1. 幫要保護的使用者啟用 DBSC。如需詳細步驟,請參閱「啟用 DBSC」。
  2. 請按照「僅允許透過 DBSC 繫結工作階段存取應用程式」的說明,建立自訂存取層級。
  3. 在「監控模式」中,將存取層級指派給您希望只允許 DBSC 繫結工作階段存取的應用程式,即可模擬強制執行的效果,而不必實際封鎖使用者存取權。
  4. 評估影響後,請在「正常模式」中指派存取層級,強制要求只有 DBSC 繫結工作階段才能存取。詳情請參閱「部署情境感知存取權」。

系統不會立即強制執行 DBSC。也就是說,使用者登入後會有一段寬限期,之後這項機制才會強制執行。這項設計是為了應對繫結時可能暫時出現的問題。繫結完成後,系統會定期檢查使用者存取指定應用程式時,所用工作階段是否已完成 DBSC 繫結。只要重新驗證,寬限期就會重新計算,期間不會強制執行 DBSC。

調查 DBSC 保護和工作階段問題

您可以使用安全調查工具監控 DBSC 保護機制,並排解工作階段中斷問題。DBSC 活動有 2 個記錄來源:

  • 使用者記錄事件:監控存取權杖與使用者裝置的繫結情形。
  • 「存取權評估」記錄事件:查看特定 Cookie 的狀態。

步驟 1:在使用者記錄事件中搜尋 DBSC 活動

使用這個資料來源,查看 DBSC 是否成功將金鑰繫結至使用者裝置,並驗證工作階段。

如要檢查 DBSC 是否繫結金鑰:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」,然後選取「使用者記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰繫結」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,查看「活動狀態」欄:
    • 成功:已為使用者啟用 DBSC 保護機制,且工作階段受到保護。
    • 失敗:DBSC 繫結失敗,且未為使用者啟用保護措施。
    • 沒有結果:這個使用者工作階段未嘗試使用 DBSC 保護機制。

如何檢查 DBSC 是否正在驗證工作階段:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 按一下「新增條件」
  3. 在「屬性」部分,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰驗證」做為事件。
  4. 按一下 [搜尋]
  5. 在結果表格中,查看「活動狀態」欄:
    • 成功:已成功驗證 Cookie。
    • 失敗:DBSC 驗證失敗。按一下狀態即可查看詳細資訊,例如錯誤代碼。

一次失敗不一定表示使用者工作階段中斷。如果連續發生多次驗證失敗,使用者可能會遭到中斷。

步驟 2:在存取權評估記錄事件中檢查存取遭拒的情況

使用這個資料來源,查看使用者是否拒絕存取 Cookie。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」,然後選取「存取權評估記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「拒絕 Cookie 驗證要求」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,按一下「事件狀態」欄中的「已拒絕」,或「說明」欄中的連結,開啟側邊面板,查看下列失敗原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

記錄事件會按工作階段分組。即使在該時段內多次嘗試存取遭封鎖,系統每小時也只會記錄一次事件。

步驟 3:調查 DBSC 是否導致工作階段中斷

使用者可能會因為各種原因登出,例如工作階段長度限制、管理員定義的政策或網路問題。雖然登出不一定表示 DBSC 有問題,但特定記錄序列有助於找出潛在的 DBSC 相關活動,或是系統封鎖遭入侵工作階段的案例。

請根據下列幾點判斷是否為 DBSC 相關活動:

  • 查看記錄序列:如果發現 DBSC 金鑰驗證失敗,接著出現「拒絕 Cookie 驗證要求」,則使用者登出可能是 DBSC 導致。
  • 瞭解對使用者的影響:為確保帳戶安全,如果繫結程序發生錯誤,使用者必須重新登入。
  • 免除使用者啟用 DBSC:如果使用者經常遭到登出,您可以建立免除啟用 DBSC 的配置群組,然後將使用者加入該群組,評估是否為 DBSC 導致登出。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。