Предотвращение кражи файлов cookie с помощью привязки сессий (бета-версия)

Администратор может повысить безопасность онлайн-сессий пользователей, внедрив учетные данные сессии, привязанные к устройству (DBSC). DBSC предназначен для предотвращения перехвата сессий, также известного как кража файлов cookie.

Этот тип кибератаки происходит, когда неуполномоченное лицо получает контроль над активной веб-сессией пользователя, похитив сессионный cookie (небольшой файл данных, содержащий уникальный идентификатор сессии), выданный веб-сайтом во время входа в систему. Предъявив этот украденный cookie, злоумышленник может выдать себя за законного пользователя и продолжить его аутентифицированную сессию.

DBSC работает путем привязки сессии пользователя к его конкретному устройству, что затрудняет злоумышленникам использование украденных cookie-файлов на других устройствах. Использование DBSC позволяет снизить риск несанкционированного доступа к учетным записям пользователей, обеспечивая безопасность конфиденциальных данных пользователей.

Требования к использованию DBSC

  • В настоящее время DBSC доступен только в браузере Chrome для устройств под управлением Windows.
  • Для безопасного хранения и обработки криптографических данных устройство пользователя должно быть оснащено модулем доверенной платформы (TPM), который является стандартным аппаратным компонентом, уже доступным для большинства устройств под управлением Windows 11. Как правило, информацию о наличии TPM можно найти в системных настройках устройства или в документации производителя.
  • Для работы программы необходимо установить Chrome версии 136 или выше. Подробности см. в разделе «Обновить Google Chrome» .

Примечание : На этапе бета-тестирования привязка сессии обеспечивает безопасность лишь ограниченного набора файлов cookie Google, то есть не все файлы cookie пользователя будут защищены.

Включите DBSC

Перед началом работы: При необходимости изучите, как применить данную методику к конкретному отделу или группе .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление сессиями Google .

    Для этого требуются права администратора в разделе «Параметры безопасности» .

  2. (Необязательно) Чтобы применить настройку только к некоторым пользователям, сбоку выберите организационное подразделение (часто используется для отделов) или группу конфигурации (расширенные настройки).

    Настройки группы имеют приоритет над организационными подразделениями. Подробнее.

  3. Для параметра «Учетные данные сеанса, привязанного к устройству» выберите «Включить DBSC» .
  4. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите «Наследовать» (или «Отменить» для группы).

Возможные результаты включения DBSC

После включения DBSC пользователи могут столкнуться со следующими проблемами:

  • Прерывание сессии — Если сессия пользователя действительна, но в процессе привязки возникает ошибка, система требует от пользователя повторного входа в систему. Это обеспечивает безопасность учетной записи и данных пользователя.
  • Постоянные проблемы — Если у пользователя постоянно возникают проблемы с DBSC, это может быть связано с частым выходом из системы. В таких случаях пользователям следует обратиться к администратору за помощью в устранении неполадок, которая может включать отключение DBSC для их учетной записи. Администратор может создать группу, освобожденную от DBSC, и добавить пользователя в эту группу.

Внедрите DBSC с контекстно-зависимым доступом.

Применимо только к веб-приложениям для настольных компьютеров и не подходит для мобильных приложений или API.

Вы можете дополнительно повысить безопасность, потребовав от пользователей наличия DBSC для доступа к определенным приложениям Google Workspace. Пользователям, пытающимся получить доступ к защищенным приложениям без сессии, привязанной к DBSC, будет отказано в доступе. Эта мера безопасности настраивается с помощью контекстно-зависимого доступа.

Для настройки принудительного применения DBSC:

  1. Включите DBSC для пользователей, которых вы хотите защитить. Инструкции см. в разделе «Включение DBSC» .
  2. Следуйте инструкциям, чтобы создать пользовательский уровень доступа в параметре «Разрешить доступ к приложениям только из сеансов, привязанных к DBSC» .
  3. Назначьте уровень доступа приложениям, к которым вы хотите разрешить доступ только сеансам, ограниченным DBSC, в режиме мониторинга , чтобы имитировать принудительное применение правил без блокировки доступа пользователей.
  4. После оценки последствий назначьте уровни доступа в активном режиме , чтобы обеспечить доступ только для сеансов, привязанных к DBSC. Подробности см. в разделе «Развертывание контекстно-зависимого доступа» .

Применение DBSC не происходит мгновенно, то есть после входа пользователя в систему предоставляется льготный период до начала применения мер принуждения. Такая конструкция учитывает потенциальные временные проблемы с привязкой. После привязки система периодически проверяет, есть ли у пользователей, обращающихся к указанным приложениям, сессии, привязанные к DBSC. Любая повторная аутентификация обнуляет этот льготный период, и DBSC не будет применяться во время этой повторной аутентификации.

Проверьте события журнала DBSC.

После включения DBSC вы можете просмотреть события журнала пользователя, чтобы проверить, произошло ли какое-либо событие DBSC. Например, вы можете проверить, успешно или неудачно выполнилось привязывание клавиш DBSC.

Примечание : События журнала DBSC отображаются только для основной учетной записи, если несколько учетных записей пользователей вошли в один и тот же профиль браузера Chrome.

Чтобы проверить, произошло ли событие:

  1. Откройте журнал событий пользователя .
    Для получения более подробной информации перейдите в раздел «События журнала пользователя» .
  2. Нажмите « Добавить фильтр». а потом Событие .
  3. Выберите событие DBSC и нажмите «Применить» .

Подробную информацию о мероприятиях см. в следующей таблице:

Название мероприятия Описание
Привязка клавиш DBSC Была предпринята попытка привязать сессию пользователя к его устройству. Статус события показывает «Успешно» или «Неудачно» . Если привязка прошла успешно, генерируется новая пара ключей TPM, и ключ привязывается к устройству.
Проверка ключа DBSC

Попытка проверки ключа DBSC завершилась неудачей, что привело к появлению одного из следующих кодов ошибки:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.