מניעת גניבת קובצי Cookie באמצעות קישור לסשן (בטא)

אדמינים יכולים לשפר את האבטחה של הסשנים של המשתמשים אונליין באמצעות הטמעה של פרטי כניסה לסשן לפי מכשיר (DBSC). טכנולוגיית DBSC נועדה למנוע חטיפת סשנים, שנקראת גם גניבת קובצי Cookie.

סוג כזה של מתקפת סייבר מתרחש כשגורם לא מורשה מקבל שליטה על סשן אינטרנט פעיל של משתמש על ידי גניבת קובץ ה-cookie של הסשן (קובץ נתונים קטן שמכיל את מזהה הסשן הייחודי) שהונפק על ידי האתר במהלך הכניסה. התוקף יכול להציג את קובץ ה-Cookie הגנוב, להתחזות למשתמש הלגיטימי ולהמשיך את הסשן המאומת שלו.

תכונת DBSC מקשרת את הסשן של המשתמש למכשיר הספציפי שלו, וכך מקשה על תוקפים להשתמש בקובצי Cookie גנובים במכשירים אחרים. שימוש ב-DBSC יכול להפחית את הסיכון לגישה לא מורשית לחשבונות משתמשים, ולשמור על נתונים רגישים של משתמשים.

דרישות לשימוש ב-DBSC

  • נכון לעכשיו, DBSC זמין רק בדפדפן Chrome במכשירי Windows.
  • במכשיר של המשתמש צריך להיות מודול פלטפורמה מהימנה (TPM), שהוא רכיב חומרה סטנדרטי שכבר זמין ברוב המכשירים שמופעלת בהם מערכת Windows 11, כדי לאחסן ולעבד נתונים קריפטוגרפיים בצורה מאובטחת. בדרך כלל, המשתמשים יכולים למצוא מידע על הזמינות של TPM בהגדרות המערכת של המכשיר או בעיון במסמכי היצרן של המכשיר.
  • המשתמש צריך להיות עם Chrome מגרסה 136 ומעלה. פרטים נוספים זמינים במאמר בנושא עדכון Google Chrome.

הערה: במהלך שלב הבטא, ההצמדה של סשנים מאבטחת רק מבחר מוגבל של קובצי Cookie של Google, כלומר לא כל קובצי ה-Cookie של משתמש מסוים יאובטחו.

הפעלת DBSC

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזשליטה בסשנים ב-Google.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות האבטחה.

  2. (אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).

    ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף

  3. בקטע פרטי כניסה לסשן לפי מכשיר, בוחרים באפשרות הפעלת DBSC.
  4. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה (או על ביטול הגדרות עבור קבוצה).

תוצאות אפשריות של הפעלת DBSC

אחרי שמפעילים את DBSC, יכול להיות שהמשתמשים יחוו:

  • הפרעות בסשן – אם הסשן של המשתמש תקין אבל תהליך הקישור נתקל בשגיאה, המערכת דורשת מהמשתמש להיכנס שוב. כך אנחנו מגנים על החשבון והנתונים של המשתמש.
  • בעיות שחוזרות על עצמן – אם משתמש נתקל בבעיות ב-DBSC באופן עקבי, יכול להיות שהוא יתנתק לעיתים קרובות. במקרים כאלה, המשתמשים צריכים לפנות לאדמין שלהם כדי לקבל עזרה בפתרון בעיות, כולל השבתת DBSC בחשבון שלהם. האדמין יכול ליצור קבוצה שמוחרגת מ-DBSC ולהוסיף את המשתמש לקבוצה הזו.

אכיפת DBSC באמצעות בקרת גישה מבוססת-הקשר

מוגבל לאפליקציות אינטרנט למחשב ולא רלוונטי לאפליקציות לנייד או לממשקי API

כדי לשפר עוד יותר את האבטחה, אתם יכולים לדרוש מהמשתמשים להשתמש ב-DBSC כדי לגשת לאפליקציות ספציפיות של Google Workspace. למשתמשים שינסו לגשת לאפליקציות מוגנות בלי סשן שקשור ל-DBSC לא תהיה גישה. אמצעי האבטחה הזה מוגדר באמצעות בקרת גישה מבוססת-הקשר.

כדי להגדיר אכיפה של DBSC:

  1. מפעילים את DBSC למשתמשים שרוצים להגן עליהם. הוראות מפורטות זמינות במאמר בנושא הפעלת DBSC.
  2. פועלים לפי ההוראות ליצירת רמת גישה מותאמת אישית במאמר איך מאפשרים גישה לאפליקציות רק מסשנים שקשורים ל-DBSC.
  3. מקצים את רמת הגישה לאפליקציות שרוצים שיהיה אפשר לגשת אליהן רק באמצעות סשנים שמוגבלים על ידי DBSC במצב מעקב כדי לדמות אכיפה בלי לחסום את גישת המשתמשים.
  4. אחרי הערכת ההשפעה, מקצים רמות גישה במצב פעיל כדי לאכוף גישה רק באמצעות סשנים שקשורים ל-DBSC. פרטים נוספים זמינים במאמר פריסה של בקרת גישה מבוססת-הקשר.

האכיפה של DBSC לא מתבצעת באופן מיידי, כלומר אחרי שהמשתמש נכנס לחשבון יש תקופת חסד לפני שהאכיפה מתבצעת. העיצוב הזה מתאים לבעיות אפשריות שקשורות לקישור זמני. אחרי הקישור, המערכת בודקת מדי פעם אם למשתמשים שניגשים לאפליקציות שצוינו יש סשנים שמקושרים ל-DBSC. כל אימות מחדש יאפס את תקופת החסד הזו, ולא תהיה אכיפה של DBSC במהלך האימות מחדש.

בדיקת אירועים ביומן של DBSC

אחרי שמפעילים את DBSC, אפשר לבדוק את האירועים ביומן המשתמש כדי לראות אם התרחש אירוע DBSC. לדוגמה, אפשר לבדוק אם קישור מפתח DBSC הצליח או נכשל.

הערה: אירועים ביומן DBSC גלויים רק בחשבון הראשי כשכמה חשבונות משתמשים מחוברים לאותו פרופיל בדפדפן Chrome.

כדי לבדוק אם אירוע קרה:

  1. פותחים את אירועים ביומן משתמשים.
    פרטים נוספים זמינים במאמר בנושא אירועים ביומן המשתמשים.
  2. לוחצים על הוספת מסנןואזאירוע.
  3. בוחרים אירוע DBSC ולוחצים על אישור.

כל הפרטים על האירועים מופיעים בטבלה הבאה:

שם אירוע תיאור
קישור מפתח DBSC הייתה ניסיון לקשור את הסשן של המשתמש למכשיר שלו. הסטטוס של האירוע יהיה Succeeded או Failed. אם הקישור מצליח, נוצר זוג מפתחות TPM חדש והמפתח מקושר למכשיר.
אימות מפתח DBSC

ניסיון לאמת את מפתח ה-DBSC נכשל, והתוצאה היא אחד מקודי השגיאה הבאים:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.