ป้องกันการโจรกรรมคุกกี้ด้วยการเชื่อมโยงเซสชัน (เบต้า)

ในฐานะผู้ดูแลระบบ คุณสามารถเพิ่มความปลอดภัยให้เซสชันออนไลน์ของผู้ใช้ได้ด้วยการใช้ข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ (DBSC) ซึ่ง DBSC ออกแบบมาเพื่อป้องกันการลักลอบใช้เซสชัน หรือที่เรียกกันโดยทั่วไปว่า "การโจรกรรมคุกกี้"

ภัยคุกคามทางไซเบอร์ประเภทนี้เกิดขึ้นเมื่อบุคคลที่ไม่ได้รับอนุญาตควบคุมเซสชันเว็บที่ใช้งานอยู่ของผู้ใช้โดยการขโมยคุกกี้เซสชัน (ไฟล์ข้อมูลขนาดเล็กที่มีตัวระบุเซสชันที่ไม่ซ้ำกัน) ซึ่งออกโดยเว็บไซต์ระหว่างการเข้าสู่ระบบ การนำเสนอคุกกี้ที่ถูกขโมยนี้ทำให้ผู้โจมตีสามารถแอบอ้างว่าเป็นผู้ใช้ตัวจริง และดำเนินเซสชันที่ผ่านการตรวจสอบสิทธิ์ต่อไปได้

DBSC ทำงานโดยการเชื่อมโยงเซสชันของผู้ใช้กับอุปกรณ์ที่เฉพาะเจาะจง ซึ่งทำให้ผู้โจมตีใช้คุกกี้ที่ขโมยมาในอุปกรณ์อื่นได้ยาก การใช้ DBSC จะช่วยลดความเสี่ยงของการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต และรักษาข้อมูลที่ละเอียดอ่อนของผู้ใช้ให้ปลอดภัย

ข้อกำหนดสำหรับการใช้ DBSC

  • ปัจจุบัน DBSC พร้อมใช้งานในเบราว์เซอร์ Chrome สำหรับอุปกรณ์ Windows เท่านั้น
  • อุปกรณ์ของผู้ใช้ต้องมี Trusted Platform Module (TPM) ซึ่งเป็นคอมโพเนนต์ฮาร์ดแวร์มาตรฐานที่มีให้ใช้งานในอุปกรณ์ส่วนใหญ่ที่ใช้ Windows 11 แล้ว เพื่อจัดเก็บและประมวลผลข้อมูลวิทยาการเข้ารหัส โดยปกติแล้ว ผู้ใช้จะดูข้อมูลเกี่ยวกับความพร้อมใช้งานของ TPM ได้ในการตั้งค่าระบบของอุปกรณ์ หรือศึกษาในเอกสารประกอบของผู้ผลิตอุปกรณ์
  • ผู้ใช้ต้องมี Chrome เวอร์ชัน 136 ขึ้นไป โปรดดูรายละเอียดที่หัวข้ออัปเดต Google Chrome

หมายเหตุ: ในช่วงเบต้า การเชื่อมโยงเซสชันจะรักษาความปลอดภัยให้กับคุกกี้ Google บางรายการเท่านั้น ซึ่งหมายความว่าจะมีคุกกี้บางรายการของผู้ใช้ที่ไม่ได้รับการรักษาความปลอดภัย

เปิด DBSC

ก่อนเริ่มต้น: หากจำเป็น โปรดดูวิธีใช้การตั้งค่ากับแผนกหรือกลุ่ม

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุมเซสชันของ Google

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่าเฉพาะกับผู้ใช้บางราย ให้เลือกหน่วยขององค์กร (มักใช้กับแผนกต่างๆ) หรือกลุ่มการกำหนดค่า (ขั้นสูง) ที่ด้านข้าง

    การตั้งค่ากลุ่มจะลบล้างหน่วยขององค์กร ดูข้อมูลเพิ่มเติม

  3. ในส่วนข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ ให้เลือกเปิดใช้ DBSC
  4. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า (หรือยกเลิกการตั้งค่าสำหรับกลุ่ม)

ผลลัพธ์ที่อาจเกิดขึ้นของการเปิดใช้ DBSC

หลังจากเปิดใช้ DBSC แล้ว ผู้ใช้อาจพบเหตุการณ์ต่อไปนี้

  • การหยุดชะงักของเซสชัน - หากเซสชันของผู้ใช้ถูกต้อง แต่กระบวนการเชื่อมโยงพบข้อผิดพลาด ระบบจะขอให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้ง วิธีนี้จะช่วยปกป้องบัญชีและข้อมูลของผู้ใช้
  • ปัญหาที่เกิดขึ้นอย่างต่อเนื่อง - หากผู้ใช้พบปัญหาเกี่ยวกับ DBSC อย่างต่อเนื่อง อาจเกิดการออกจากระบบบ่อยครั้ง ในกรณีดังกล่าว ผู้ใช้ควรติดต่อผู้ดูแลระบบเพื่อขอความช่วยเหลือในการแก้ปัญหา ซึ่งอาจรวมถึงการปิดใช้ DBSC สำหรับบัญชีของตน ผู้ดูแลระบบสามารถสร้างกลุ่มที่ยกเว้นการใช้งาน DBSC และเพิ่มผู้ใช้ลงในกลุ่มนั้นได้

บังคับใช้ DBSC ด้วยการเข้าถึงแบบ Context-Aware

จำกัดไว้สำหรับเว็บแอปบนเดสก์ท็อป และไม่สามารถใช้กับแอปบนมือถือหรือ API ได้

คุณสามารถรักษาความปลอดภัยที่ดียิ่งขึ้นได้ด้วยการกําหนดให้ผู้ใช้ต้องมี DBSC เพื่อเข้าถึงแอป Google Workspace บางแอป ระบบจะปฏิเสธการเข้าถึงของผู้ใช้ที่พยายามเข้าถึงแอปที่ได้รับการปกป้องโดยไม่มีเซสชันที่ผูกกับ DBSC มาตรการรักษาความปลอดภัยนี้ได้รับการกำหนดค่าผ่านการเข้าถึงแบบ Context-Aware

วิธีตั้งค่าการบังคับใช้ DBSC

  1. เปิด DBSC สำหรับผู้ใช้ที่คุณต้องการปกป้อง โปรดดูขั้นตอนในหัวข้อเปิดใช้ DBSC
  2. ทำตามวิธีการเพื่อสร้างระดับการเข้าถึงที่กำหนดเองในหัวข้ออนุญาตให้เข้าถึงแอปจากเซสชันที่เชื่อมโยงกับ DBSC เท่านั้น
  3. กำหนดระดับการเข้าถึงให้กับแอปที่คุณต้องการให้เข้าถึงได้เฉพาะเซสชันที่ผูกกับ DBSC ในโหมดตรวจสอบเพื่อจำลองการบังคับใช้โดยไม่บล็อกการเข้าถึงของผู้ใช้
  4. หลังจากประเมินผลกระทบแล้ว ให้กำหนดระดับการเข้าถึงในโหมดทำงานเพื่อบังคับใช้การเข้าถึงเฉพาะเซสชันที่ผูกกับ DBSC โปรดดูรายละเอียดที่หัวข้อติดตั้งใช้งานการเข้าถึงแบบ Context-Aware

การบังคับใช้ DBSC จะไม่ได้มีผลในทันที ซึ่งหมายความว่าหลังจากที่ผู้ใช้ลงชื่อเข้าใช้แล้ว จะมีระยะเวลาผ่อนผันก่อนที่จะมีการบังคับใช้ ซึ่งการออกแบบนี้จะช่วยรับมือกับปัญหาการเชื่อมโยงชั่วคราวที่อาจเกิดขึ้น เมื่อเชื่อมโยงแล้ว ระบบจะตรวจสอบเป็นระยะๆ ว่าผู้ใช้ที่เข้าถึงแอปที่ระบุมีเซสชันที่ผูกกับ DBSC หรือไม่ การตรวจสอบสิทธิ์อีกครั้งจะรีเซ็ตระยะเวลาผ่อนผันนี้ และระบบจะไม่บังคับใช้ DBSC ในระหว่างการตรวจสอบสิทธิ์อีกครั้งนั้นๆ

ตรวจสอบเหตุการณ์ในบันทึกของ DBSC

หลังจากเปิด DBSC แล้ว คุณสามารถตรวจสอบเหตุการณ์ในบันทึกของผู้ใช้ได้เพื่อดูว่ามีเหตุการณ์ DBSC เกิดขึ้นหรือไม่ เช่น คุณตรวจสอบได้ว่าการเชื่อมโยงคีย์ DBSC สำเร็จหรือไม่

หมายเหตุ: เหตุการณ์ในบันทึก DBSC จะแสดงเฉพาะบัญชีหลักเมื่อมีการลงชื่อเข้าใช้บัญชีผู้ใช้หลายบัญชีในโปรไฟล์เบราว์เซอร์ Chrome เดียวกัน

วิธีตรวจสอบว่าเหตุการณ์เกิดขึ้นหรือไม่

  1. เปิดเหตุการณ์ในบันทึกของผู้ใช้
    โปรดดูรายละเอียดที่หัวข้อเหตุการณ์ในบันทึกของผู้ใช้
  2. คลิกเพิ่มตัวกรองจากนั้นเหตุการณ์
  3. เลือกเหตุการณ์ DBSC แล้วคลิกใช้

โปรดดูรายละเอียดเกี่ยวกับเหตุการณ์ที่ตารางต่อไปนี้

ชื่อเหตุการณ์ คำอธิบาย
การเชื่อมโยงคีย์ DBSC พยายามเชื่อมโยงเซสชันของผู้ใช้กับอุปกรณ์ สถานะของเหตุการณ์จะแสดงเป็นสำเร็จหรือไม่สำเร็จ หากการเชื่อมโยงสำเร็จ ระบบจะสร้างคู่คีย์ TPM ใหม่และเชื่อมโยงคีย์กับอุปกรณ์
การตรวจสอบคีย์ DBSC

ความพยายามในการตรวจสอบคีย์ DBSC ไม่สำเร็จส่งผลให้เกิดรหัสข้อผิดพลาดต่อไปนี้

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง