Zapobieganie kradzieży plików cookie dzięki powiązaniu sesji (wersja beta)

Jako administrator możesz zwiększyć bezpieczeństwo sesji online użytkowników, wdrażając dane uwierzytelniające sesji powiązane z urządzeniem (DBSC). DBSC ma zapobiegać przechwyceniu sesji, czyli kradzieży plików cookie.

Ten typ cyberataku ma miejsce, gdy niepowołana osoba przejmuje kontrolę nad aktywną sesją przeglądarki użytkownika, kradnąc plik cookie sesji (mały plik danych zawierający unikalny identyfikator sesji) wydany przez witrynę podczas logowania. Przekazując ten skradziony plik cookie, osoba przeprowadzająca atak może podszywać się pod uprawnionego użytkownika i kontynuować uwierzytelnioną sesję.

DBSC wiąże sesję użytkownika z jego konkretnym urządzeniem, utrudniając osobom przeprowadzającym atak używanie skradzionych plików cookie na innych urządzeniach. Dzięki DBSC możesz zmniejszyć ryzyko nieautoryzowanego dostępu do kont użytkowników i zachować bezpieczeństwo danych wrażliwych użytkownika.

Wymagania dotyczące korzystania z DBSC

  • Obecnie dane DBSC są dostępne tylko w przeglądarce Chrome na urządzeniach z systemem Windows.
  • Urządzenie użytkownika musi mieć moduł zaufanej platformy (TPM), który jest standardowym komponentem sprzętowym dostępnym już na większości urządzeń z systemem Windows 11. Umożliwia on bezpieczne przechowywanie i przetwarzanie danych kryptograficznych. Użytkownicy mogą znaleźć informacje o dostępności TPM w ustawieniach systemu urządzenia lub w dokumentacji producenta urządzenia.
  • Użytkownik musi mieć Chrome w wersji 136 lub nowszej. Więcej informacji znajdziesz w artykule Aktualizowanie Google Chrome.

Uwaga: w fazie testów beta wiązanie sesji chroni tylko ograniczoną liczbę plików cookie Google, co oznacza, że nie wszystkie pliki cookie użytkownika będą chronione.

Włączanie DBSC

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować ustawienie w dziale lub grupie.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemKontrola sesji Google.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

    Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

  3. Obok Danych uwierzytelniających sesji powiązanych z urządzeniem wybierz Włącz DBSC.
  4. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Możliwe skutki włączenia DBSC

Po włączeniu DBSC użytkownicy mogą doświadczyć tych sytuacji:

  • Przerwanie sesji – jeśli sesja użytkownika jest ważna, ale podczas procesu wiązania wystąpi błąd, system wymaga ponownego zalogowania się użytkownika. Ma to na celu ochronę konta i danych użytkownika.
  • Stale występujące problemy – jeśli użytkownik stale ma problemy z DBSC, może być często wylogowywany. W takich przypadkach użytkownicy powinni skontaktować się z administratorem w celu uzyskania pomocy przy rozwiązywaniu problemów, co może obejmować wyłączenie DBSC na ich koncie. Administrator może utworzyć grupę, która nie jest objęta DBSC, i dodać do niej użytkownika.

Wymuszanie używania DBSC za pomocą dostępu zależnego od kontekstu

Ograniczone do aplikacji internetowych na komputer i nieobowiązujące w przypadku aplikacji mobilnych lub interfejsów API

Możesz dodatkowo zwiększyć bezpieczeństwo, wymagając, żeby użytkownicy mieli DSBC w celu uzyskiwania dostępu do określonych aplikacji Google Workspace. Użytkownicy, którzy spróbują uzyskać dostęp do chronionych aplikacji bez sesji związanej z DBSC, nie będą mieli do nich dostępu. To zabezpieczenie można skonfigurować za pomocą dostępu zależnego od kontekstu.

Aby skonfigurować wymuszanie DBSC:

  1. Włącz DBSC dla użytkowników, których chcesz chronić. Instrukcje znajdziesz w artykule na temat włączania DBSC.
  2. Aby utworzyć niestandardowy poziom dostępu, postępuj zgodnie z instrukcjami podanymi w artykule na temat zezwalania na dostęp do aplikacji tylko z sesji związanych z DBSC.
  3. Przypisz poziom dostępu do aplikacji, do których dostęp mają mieć tylko sesje związane z DBSC, w trybie monitorowania, aby symulować wymuszania bez blokowania dostępu użytkowników.
  4. Po ocenie wpływu przypisz poziomy dostępu w trybie aktywnym, aby wymusić dostęp tylko z sesji związanych z DBSC. Szczegółowe informacje znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.

Wymuszanie DBSC nie jest natychmiastowe, co oznacza, że po zalogowaniu się użytkownika obowiązuje okres prolongaty, zanim zostanie zastosowane wymuszanie. Takie rozwiązanie pozwala rozwiązać potencjalne tymczasowe problemy z wiązaniem. Po powiązaniu system okresowo sprawdza, czy użytkownicy korzystający z określonych aplikacji mają sesje związane DBSC. Każde ponowne uwierzytelnianie spowoduje zresetowanie tego okresu prolongaty, a DBSC nie zostanie wymuszone podczas ponownego uwierzytelniania.

Sprawdzanie zdarzeń z dziennika DBSC

Po włączeniu DBSC możesz przejrzeć zdarzenia w dzienniku użytkownika, aby sprawdzić, czy wystąpiło zdarzenie dotyczące DBSC. Możesz na przykład sprawdzić, czy powiązanie klucza DBSC powiodło się, czy zakończyło niepowodzeniem.

Uwaga: zdarzenia w dzienniku DBSC są widoczne tylko na koncie głównym, gdy w tym samym profilu przeglądarki Chrome zalogowanych jest kilka kont użytkowników.

Aby sprawdzić, czy zdarzenie miało miejsce:

  1. Otwórz Zdarzenia w dzienniku użytkownika.
    Więcej informacji znajdziesz w artykule Zdarzenia z dziennika użytkownika.
  2. Kliknij Dodaj filtra potemZdarzenie.
  3. Wybierz zdarzenie dotyczące DBSC i kliknij Zastosuj.

Szczegółowe informacje o zdarzeniach znajdziesz w tabeli poniżej:

Nazwa zdarzenia Opis
Powiązanie klucza DBSC Próba powiązania sesji użytkownika z jego urządzeniem. Stan zdarzenia to Ukończono lub Niepowodzenie. Jeśli powiązanie się powiedzie, zostanie wygenerowana nowa para kluczy TPM, a klucz zostanie powiązany z urządzeniem.
Weryfikacja klucza DBSC

Nie udało się zweryfikować klucza DBSC. W związku z tym pojawił się jeden z tych kodów błędu:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.