ป้องกันการโจรกรรมคุกกี้ด้วยการเชื่อมโยงเซสชัน (เบต้า)

ในฐานะผู้ดูแลระบบ คุณสามารถเพิ่มความปลอดภัยให้เซสชันออนไลน์ของผู้ใช้ได้ด้วยการใช้ข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ (DBSC) ซึ่ง DBSC ออกแบบมาเพื่อ ป้องกันการลักลอบใช้เซสชัน หรือที่เรียกกันโดยทั่วไปว่า "การโจรกรรมคุกกี้"

ภัยคุกคามทางไซเบอร์ประเภทนี้เกิดขึ้นเมื่อบุคคลที่ไม่ได้รับอนุญาตควบคุมเซสชันเว็บที่ใช้งานอยู่ของผู้ใช้โดยการขโมยคุกกี้เซสชัน (ไฟล์ข้อมูลขนาดเล็กที่มีตัวระบุเซสชันที่ไม่ซ้ำกัน) ซึ่งออกโดยเว็บไซต์ระหว่างการเข้าสู่ระบบ การนำเสนอคุกกี้ที่ถูกขโมยนี้ทำให้ผู้โจมตีสามารถแอบอ้างว่าเป็นผู้ใช้ตัวจริง และดำเนินเซสชันที่ผ่านการตรวจสอบสิทธิ์ต่อไปได้

DBSC ทำงานโดยการเชื่อมโยงเซสชันของผู้ใช้กับอุปกรณ์ที่เฉพาะเจาะจง ซึ่งทำให้ผู้โจมตีใช้คุกกี้ที่ขโมยมาในอุปกรณ์อื่นได้ยาก การใช้ DBSC จะช่วยลดความเสี่ยงของการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต และรักษาข้อมูลที่ละเอียดอ่อนของผู้ใช้ให้ปลอดภัย

ข้อกำหนดสำหรับการใช้ DBSC

  • ปัจจุบัน DBSC พร้อมใช้งานในเบราว์เซอร์ Chrome สำหรับอุปกรณ์ Windows เท่านั้น
  • อุปกรณ์ของผู้ใช้ต้องมี Trusted Platform Module (TPM) ซึ่งเป็น คอมโพเนนต์ฮาร์ดแวร์มาตรฐานที่มีให้ใช้งานในอุปกรณ์ส่วนใหญ่ ที่ใช้ Windows 11 แล้ว เพื่อจัดเก็บและประมวลผลข้อมูลวิทยาการเข้ารหัส โดยปกติแล้ว ผู้ใช้จะดูข้อมูลเกี่ยวกับความพร้อมใช้งานของ TPM ได้ในการตั้งค่าระบบของอุปกรณ์ หรือศึกษาในเอกสารประกอบของผู้ผลิตอุปกรณ์
  • ผู้ใช้ต้องมี Chrome เวอร์ชัน 136 ขึ้นไป โปรดดูรายละเอียดที่หัวข้ออัปเดต Google Chrome

หมายเหตุ: ในช่วงเบต้า การเชื่อมโยงเซสชันจะรักษาความปลอดภัยให้กับคุกกี้ Google บางรายการเท่านั้น ซึ่งหมายความว่าจะมีคุกกี้บางรายการของผู้ใช้ที่ไม่ได้รับการรักษาความปลอดภัย

เปิด DBSC

ก่อนเริ่มต้น: หากจำเป็น โปรดดูวิธีใช้การตั้งค่ากับแผนกหรือกลุ่ม

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การควบคุมเซสชันของ Google

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่าเฉพาะกับผู้ใช้บางราย ให้เลือกหน่วยขององค์กร (มักใช้กับแผนกต่างๆ) หรือกลุ่มการกำหนดค่า (ขั้นสูง) ที่ด้านข้าง

    การตั้งค่ากลุ่มจะลบล้างหน่วยขององค์กร ดูข้อมูลเพิ่มเติม

  3. ในส่วนข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ ให้เลือกเปิดใช้ DBSC
  4. คลิกบันทึก หรือคลิกลบล้างสำหรับหน่วยขององค์กร

    หากต้องการกู้คืนค่าที่รับช่วงมาในภายหลัง ให้คลิกรับค่า (หรือยกเลิกการตั้งค่าสำหรับกลุ่ม)

ผลลัพธ์ที่อาจเกิดขึ้นของการเปิดใช้ DBSC

หลังจากเปิดใช้ DBSC แล้ว ผู้ใช้อาจพบเหตุการณ์ต่อไปนี้

  • การหยุดชะงักของเซสชัน - หากเซสชันของผู้ใช้ถูกต้อง แต่กระบวนการเชื่อมโยงพบข้อผิดพลาด ระบบจะขอให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้ง วิธีนี้จะช่วยปกป้องบัญชีและข้อมูลของผู้ใช้
  • ปัญหาที่เกิดขึ้นอย่างต่อเนื่อง - หากผู้ใช้พบปัญหาเกี่ยวกับ DBSC อย่างต่อเนื่อง อาจเกิดการออกจากระบบบ่อยครั้ง ในกรณีดังกล่าว ผู้ใช้ควรติดต่อผู้ดูแลระบบเพื่อขอความช่วยเหลือในการแก้ปัญหา ซึ่งอาจรวมถึงการปิดใช้ DBSC สำหรับบัญชีของตน ผู้ดูแลระบบสามารถสร้างกลุ่มที่ยกเว้นการใช้งาน DBSC และเพิ่มผู้ใช้ลงในกลุ่มนั้นได้

บังคับใช้ DBSC ด้วยการเข้าถึงแบบ Context-Aware

จำกัดไว้สำหรับเว็บแอปบนเดสก์ท็อป และไม่สามารถใช้กับแอปบนมือถือหรือ API ได้

คุณสามารถรักษาความปลอดภัยที่ดียิ่งขึ้นได้ด้วยการกําหนดให้ผู้ใช้ต้องมี DBSC เพื่อเข้าถึง แอป Google Workspace บางแอป ระบบจะปฏิเสธการเข้าถึงของผู้ใช้ที่พยายามเข้าถึงแอปที่ได้รับการปกป้อง โดยไม่มีเซสชันที่ผูกกับ DBSC มาตรการรักษาความปลอดภัยนี้ ได้รับการกำหนดค่าผ่านการเข้าถึงแบบ Context-Aware

วิธีตั้งค่าการบังคับใช้ DBSC

  1. เปิด DBSC สำหรับผู้ใช้ที่คุณต้องการปกป้อง โปรดดูขั้นตอนในหัวข้อ เปิดใช้ DBSC
  2. ทำตามวิธีการเพื่อสร้างระดับการเข้าถึงที่กำหนดเองในหัวข้ออนุญาตให้เข้าถึงแอปจากเซสชันที่เชื่อมโยงกับ DBSC เท่านั้น
  3. กำหนดระดับการเข้าถึงให้กับแอปที่คุณต้องการให้เข้าถึงได้เฉพาะเซสชันที่ผูกกับ DBSC ในโหมดตรวจสอบเพื่อจำลองการบังคับใช้โดยไม่บล็อกการเข้าถึงของผู้ใช้
  4. หลังจากประเมินผลกระทบแล้ว ให้กำหนดระดับการเข้าถึงในโหมดทำงานเพื่อ บังคับใช้การเข้าถึงเฉพาะเซสชันที่ผูกกับ DBSC โปรดดูรายละเอียดที่หัวข้อติดตั้งใช้งาน การเข้าถึงแบบ Context-Aware

การบังคับใช้ DBSC จะไม่ได้มีผลในทันที ซึ่งหมายความว่าหลังจากที่ผู้ใช้ลงชื่อเข้าใช้แล้ว จะมีระยะเวลาผ่อนผันก่อนที่จะมีการบังคับใช้ ซึ่งการออกแบบนี้จะช่วยรับมือกับปัญหาการเชื่อมโยงชั่วคราวที่อาจเกิดขึ้น เมื่อเชื่อมโยงแล้ว ระบบจะตรวจสอบเป็นระยะๆ ว่าผู้ใช้ที่เข้าถึงแอปที่ระบุมีเซสชันที่ผูกกับ DBSC หรือไม่ การตรวจสอบสิทธิ์อีกครั้งจะรีเซ็ตระยะเวลาผ่อนผันนี้ และระบบจะไม่บังคับใช้ DBSC ในระหว่างการตรวจสอบสิทธิ์อีกครั้งนั้นๆ

ตรวจสอบเหตุการณ์ในบันทึกของ DBSC

หลังจากเปิด DBSC แล้ว คุณสามารถตรวจสอบเหตุการณ์ในบันทึกของผู้ใช้ได้เพื่อดูว่ามีเหตุการณ์ DBSC เกิดขึ้นหรือไม่ เช่น คุณตรวจสอบได้ว่าการเชื่อมโยงคีย์ DBSC สำเร็จหรือไม่

หมายเหตุ: เหตุการณ์ในบันทึก DBSC จะแสดงเฉพาะบัญชีหลักเมื่อมีการลงชื่อเข้าใช้บัญชีผู้ใช้หลายบัญชีในโปรไฟล์เบราว์เซอร์ Chrome เดียวกัน

วิธีตรวจสอบว่าเหตุการณ์เกิดขึ้นหรือไม่

  1. เปิดเหตุการณ์ในบันทึกของผู้ใช้
    โปรดดูรายละเอียดที่หัวข้อเหตุการณ์ในบันทึก ของผู้ใช้
  2. คลิกเพิ่มตัวกรอง จากนั้น เหตุการณ์
  3. เลือกเหตุการณ์ DBSC แล้วคลิกใช้

โปรดดูรายละเอียดเกี่ยวกับเหตุการณ์ที่ตารางต่อไปนี้

ชื่อเหตุการณ์ คำอธิบาย
การเชื่อมโยงคีย์ DBSC พยายามเชื่อมโยงเซสชันของผู้ใช้กับอุปกรณ์ สถานะของเหตุการณ์จะแสดงเป็นสำเร็จหรือไม่สำเร็จ หากการเชื่อมโยงสำเร็จ ระบบจะสร้างคู่คีย์ TPM ใหม่และเชื่อมโยงคีย์กับอุปกรณ์
การตรวจสอบคีย์ DBSC

ความพยายามในการตรวจสอบคีย์ DBSC ไม่สำเร็จส่งผลให้เกิดรหัสข้อผิดพลาดต่อไปนี้

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง