جلوگیری از سرقت کوکی با اتصال جلسه (بتا)

به عنوان یک مدیر، می‌توانید با پیاده‌سازی اعتبارنامه‌های جلسه متصل به دستگاه (DBSC) امنیت جلسات آنلاین کاربران خود را افزایش دهید. DBSC برای جلوگیری از ربودن جلسه، که معمولاً به عنوان سرقت کوکی نیز شناخته می‌شود، طراحی شده است.

این نوع حمله سایبری زمانی اتفاق می‌افتد که یک شخص غیرمجاز با دزدیدن کوکی جلسه (یک فایل داده کوچک حاوی شناسه منحصر به فرد جلسه) که توسط وب‌سایت در هنگام ورود به سیستم صادر شده است، کنترل جلسه فعال وب کاربر را به دست می‌گیرد. با ارائه این کوکی دزدیده شده، مهاجم می‌تواند خود را به جای کاربر قانونی جا بزند و جلسه احراز هویت شده خود را ادامه دهد.

DBSC با اتصال جلسه کاربر به دستگاه خاص خود کار می‌کند و استفاده از کوکی‌های دزدیده شده در دستگاه‌های دیگر را برای مهاجمان دشوار می‌کند. با استفاده از DBSC، می‌توانید خطر دسترسی غیرمجاز به حساب‌های کاربری را کاهش داده و داده‌های حساس کاربر را ایمن نگه دارید.

الزامات استفاده از DBSC

  • در حال حاضر، DBSC فقط در مرورگر کروم برای دستگاه‌های ویندوزی در دسترس است.
  • دستگاه کاربر باید دارای یک ماژول پلتفرم قابل اعتماد (TPM) باشد، که یک قطعه سخت‌افزاری استاندارد است که از قبل برای اکثر دستگاه‌هایی که ویندوز ۱۱ را اجرا می‌کنند، در دسترس است تا داده‌های رمزنگاری را به طور ایمن ذخیره و پردازش کند. کاربران معمولاً می‌توانند اطلاعات مربوط به در دسترس بودن TPM را در تنظیمات سیستم دستگاه خود یا با مراجعه به مستندات سازنده دستگاه پیدا کنند.
  • کاربر باید نسخه کروم ۱۳۶ یا بالاتر داشته باشد. برای جزئیات بیشتر، به به‌روزرسانی گوگل کروم مراجعه کنید.

توجه : در طول مرحله بتا، اتصال جلسه فقط تعداد محدودی از کوکی‌های گوگل را ایمن می‌کند، به این معنی که همه کوکی‌های یک کاربر ایمن نخواهند شد.

روشن کردن DBSC

قبل از شروع: در صورت نیاز، نحوه اعمال تنظیمات را در یک بخش یا گروه بیاموزید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس کنترل جلسه گوگل .

    نیاز به داشتن امتیاز مدیر تنظیمات امنیتی دارد.

  2. (اختیاری) برای اعمال تنظیمات فقط برای برخی از کاربران، در کنار، یک واحد سازمانی (که اغلب برای بخش‌ها استفاده می‌شود) یا یک گروه پیکربندی (پیشرفته) را انتخاب کنید.

    تنظیمات گروه، واحدهای سازمانی را نادیده می‌گیرد. اطلاعات بیشتر

  3. برای اعتبارنامه‌های جلسه متصل به دستگاه ، گزینه فعال کردن DBSC را انتخاب کنید.
  4. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

    برای بازیابی مقدار ارث‌بری شده در آینده، روی Inherit (یا Unset برای یک گروه) کلیک کنید.

پیامدهای بالقوه روشن کردن DBSC

پس از فعال کردن DBSC، کاربران ممکن است با موارد زیر مواجه شوند:

  • وقفه‌های جلسه - اگر جلسه کاربر معتبر باشد اما فرآیند اتصال با خطا مواجه شود، سیستم از کاربر می‌خواهد که دوباره وارد سیستم شود. این کار از حساب و داده‌های کاربر محافظت می‌کند.
  • مشکلات مداوم - اگر کاربری به طور مداوم با DBSC مشکل داشته باشد، ممکن است مرتباً از سیستم خارج شود. در چنین مواردی، کاربران باید برای کمک در عیب‌یابی با مدیر خود تماس بگیرند، که ممکن است شامل غیرفعال کردن DBSC برای حساب آنها باشد. مدیر می‌تواند گروهی ایجاد کند که از DBSC معاف باشد و کاربر را به آن گروه اضافه کند.

اعمال DBSC با دسترسی آگاه از متن

محدود به برنامه‌های وب دسکتاپ است و برای برنامه‌های تلفن همراه یا APIها قابل استفاده نیست.

شما می‌توانید با ملزم کردن کاربران به داشتن DBSC برای دسترسی به برنامه‌های خاص Google Workspace، امنیت را بیشتر افزایش دهید. کاربرانی که سعی می‌کنند بدون داشتن یک جلسه DBSC-bound به برنامه‌های محافظت‌شده دسترسی پیدا کنند، از دسترسی محروم خواهند شد. این اقدام امنیتی از طریق Context-Aware Access پیکربندی شده است.

برای تنظیم اجرای DBSC:

  1. DBSC را برای کاربرانی که می‌خواهید محافظت شوند، فعال کنید. برای مراحل، به Turn on DBSC بروید.
  2. برای ایجاد یک سطح دسترسی سفارشی، دستورالعمل‌های موجود در بخش «اجازه دسترسی به برنامه‌ها فقط از جلسات DBSC» را دنبال کنید.
  3. سطح دسترسی را به برنامه‌هایی که می‌خواهید فقط توسط جلسات محدود شده به DBSC در حالت مانیتور قابل دسترسی باشند، اختصاص دهید تا اجرای قانون بدون مسدود کردن دسترسی کاربر شبیه‌سازی شود.
  4. پس از ارزیابی تأثیر، سطوح دسترسی را در حالت فعال تعیین کنید تا دسترسی فقط توسط جلسات متصل به DBSC اعمال شود. برای جزئیات بیشتر، به Deploy Context-Aware Access مراجعه کنید.

اجرای DBSC فوری نیست، به این معنی که پس از ورود کاربر، یک دوره مهلت قبل از اعمال اجرا وجود دارد. این طراحی مشکلات احتمالی اتصال موقت را در نظر می‌گیرد. پس از اتصال، سیستم به صورت دوره‌ای بررسی می‌کند که آیا کاربرانی که به برنامه‌های مشخص شده دسترسی دارند، جلسات متصل به DBSC دارند یا خیر. هرگونه احراز هویت مجدد، این دوره مهلت را بازنشانی می‌کند و DBSC در طول آن احراز هویت مجدد اجرا نخواهد شد.

بررسی رویدادهای لاگ DBSC

پس از فعال کردن DBSC، می‌توانید رویدادهای گزارش کاربر را بررسی کنید تا بررسی کنید که آیا رویدادی در DBSC رخ داده است یا خیر. به عنوان مثال، می‌توانید بررسی کنید که آیا اتصال کلید DBSC با موفقیت انجام شده است یا خیر.

توجه : رویدادهای گزارش DBSC فقط برای حساب اصلی قابل مشاهده هستند، زمانی که چندین حساب کاربری با یک پروفایل مرورگر کروم وارد سیستم شده باشند.

برای بررسی اینکه آیا رویدادی رخ داده است:

  1. رویدادهای گزارش کاربر را باز کنید.
    برای جزئیات بیشتر، به رویدادهای گزارش کاربر مراجعه کنید.
  2. روی افزودن فیلتر کلیک کنید و سپس رویداد .
  3. یک رویداد DBSC را انتخاب کنید و روی اعمال کلیک کنید.

برای جزئیات بیشتر در مورد رویدادها، به جدول زیر مراجعه کنید:

نام رویداد توضیحات
اتصال کلید DBSC تلاش برای اتصال نشست یک کاربر به دستگاه او. وضعیت رویداد با یکی از گزینه‌های «موفق» یا «ناموفق» نمایش داده می‌شود. اگر اتصال موفقیت‌آمیز باشد، یک جفت کلید TPM جدید ایجاد می‌شود و کلید به دستگاه متصل می‌شود.
اعتبارسنجی کلید DBSC

تلاش برای اعتبارسنجی کلید DBSC ناموفق بود و منجر به یکی از کدهای خطای زیر شد:

  • تأیید کلید DBSC ناموفق
  • دلیل خرابی DBSC_UNKNOWN


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.