Ngăn chặn hành vi đánh cắp cookie bằng tính năng liên kết phiên (bản thử nghiệm)

Là quản trị viên, bạn có thể tăng cường tính bảo mật cho phiên trực tuyến của người dùng bằng cách triển khai Thông tin xác thực phiên được liên kết với thiết bị (DBSC). DBSC được thiết kế để ngăn chặn hành vi chiếm đoạt phiên, còn được gọi là hành vi đánh cắp cookie.

Loại tấn công mạng này xảy ra khi một bên trái phép giành quyền kiểm soát phiên web đang hoạt động của người dùng bằng cách đánh cắp cookie phiên (một tệp dữ liệu nhỏ chứa mã nhận dạng phiên duy nhất) do trang web phát hành trong quá trình đăng nhập. Bằng cách xuất trình cookie bị đánh cắp này, kẻ tấn công có thể mạo danh người dùng hợp pháp và tiếp tục phiên đã xác thực của họ.

DBSC hoạt động bằng cách liên kết phiên của người dùng với thiết bị cụ thể của họ, khiến kẻ tấn công khó sử dụng cookie bị đánh cắp trên các thiết bị khác. Bằng cách sử dụng DBSC, bạn có thể giảm nguy cơ truy cập trái phép vào tài khoản người dùng, giúp bảo vệ dữ liệu nhạy cảm của người dùng.

Yêu cầu khi sử dụng DBSC

  • Hiện tại, DBSC chỉ hoạt động trên trình duyệt Chrome dành cho thiết bị Windows.
  • Thiết bị của người dùng phải có Mô-đun nền tảng đáng tin cậy (TPM). Đây là một thành phần phần cứng tiêu chuẩn đã có sẵn cho hầu hết các thiết bị chạy Windows 11, để lưu trữ và xử lý dữ liệu mật mã một cách an toàn. Người dùng thường có thể tìm thấy thông tin về tính năng TPM trong phần cài đặt hệ thống của thiết bị hoặc bằng cách tham khảo tài liệu của nhà sản xuất thiết bị.
  • Người dùng phải sử dụng Chrome phiên bản 136 trở lên. Để biết thông tin chi tiết, hãy xem bài viết Cập nhật Google Chrome.

Lưu ý: Trong giai đoạn thử nghiệm, tính năng liên kết phiên chỉ bảo mật một số cookie của Google. Điều này có nghĩa là không phải tất cả cookie của người dùng đều được bảo mật.

Bật DBSC

Trước khi bắt đầu: Nếu cần, hãy tìm hiểu cách áp dụng chế độ cài đặt này cho một bộ phận hoặc nhóm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóQuyền truy cập và kiểm soát dữ liệusau đóKiểm soát phiên truy cập vào Google.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  3. Đối với Thông tin xác thực phiên được liên kết với thiết bị, hãy chọn Bật DBSC.
  4. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa (hoặc Không đặt đối với nhóm).

Kết quả tiềm ẩn khi bật DBSC

Sau khi bạn bật DBSC, người dùng có thể gặp phải:

  • Gián đoạn phiên–Nếu phiên của người dùng hợp lệ nhưng quá trình liên kết gặp lỗi, hệ thống sẽ yêu cầu người dùng đăng nhập lại. Điều này giúp bảo vệ tài khoản và dữ liệu của người dùng.
  • Vấn đề dai dẳng–Nếu liên tục gặp vấn đề với DBSC, người dùng có thể bị đăng xuất thường xuyên. Trong những trường hợp như vậy, người dùng nên liên hệ với quản trị viên để được hỗ trợ khắc phục sự cố. Quản trị viên có thể tắt DBSC cho tài khoản của họ. Quản trị viên có thể tạo một nhóm được miễn DBSC và thêm người dùng vào nhóm đó.

Thực thi DBSC bằng tính năng Quyền truy cập theo bối cảnh

Chỉ áp dụng cho các ứng dụng web trên máy tính và không áp dụng cho các ứng dụng di động hoặc API

Bạn có thể tăng cường tính bảo mật bằng cách yêu cầu người dùng phải có DBSC để truy cập vào các ứng dụng cụ thể của Google Workspace. Người dùng cố gắng truy cập vào các ứng dụng được bảo vệ mà không có phiên được liên kết với DBSC sẽ bị từ chối quyền truy cập. Biện pháp bảo mật này được định cấu hình thông qua tính năng Quyền truy cập theo bối cảnh.

Cách thiết lập chế độ thực thi DBSC:

  1. Bật DBSC cho những người dùng mà bạn muốn bảo vệ. Để biết các bước, hãy chuyển đến phần Bật DBSC.
  2. Làm theo hướng dẫn để tạo cấp truy cập tuỳ chỉnh trong phần Chỉ cho phép truy cập vào ứng dụng từ các phiên được liên kết với DBSC.
  3. Chỉ định cấp truy cập cho các ứng dụng mà bạn chỉ muốn cho phép truy cập bằng các phiên được liên kết với DBSC ở chế độ giám sát để mô phỏng việc thực thi mà không chặn quyền truy cập của người dùng.
  4. Sau khi đánh giá tác động, hãy chỉ định các cấp truy cập ở chế độ đang hoạt động để chỉ thực thi quyền truy cập bằng các phiên được liên kết với DBSC. Để biết thông tin chi tiết, hãy chuyển đến phần Triển khai tính năng Quyền truy cập theo bối cảnh.

Việc thực thi DBSC không diễn ra ngay lập tức. Điều này có nghĩa là sau khi người dùng đăng nhập, sẽ có một khoảng thời gian ân hạn trước khi việc thực thi được áp dụng. Thiết kế này phù hợp với các vấn đề liên kết tạm thời tiềm ẩn. Sau khi liên kết, hệ thống sẽ định kỳ kiểm tra xem người dùng truy cập vào các ứng dụng được chỉ định có phiên được liên kết với DBSC hay không. Mọi lần xác thực lại sẽ đặt lại khoảng thời gian ân hạn này và DBSC sẽ không được thực thi trong quá trình xác thực lại đó.

Kiểm tra sự kiện trong nhật ký DBSC

Sau khi bật DBSC, bạn có thể xem xét Sự kiện trong nhật ký của người dùng để kiểm tra xem sự kiện DBSC có xảy ra hay không. Ví dụ: bạn có thể kiểm tra xem việc liên kết khoá DBSC có thành công hay không.

Lưu ý: Sự kiện trong nhật ký DBSC chỉ hiển thị cho tài khoản chính khi nhiều tài khoản người dùng đăng nhập vào cùng một hồ sơ trình duyệt Chrome.

Cách kiểm tra xem một sự kiện có xảy ra hay không:

  1. Mở Sự kiện trong nhật ký của người dùng.
    Để biết thông tin chi tiết, hãy chuyển đến phần Sự kiện trong nhật ký của người dùng.
  2. Nhấp vào Thêm bộ lọcsau đóSự kiện.
  3. Chọn một sự kiện DBSC rồi nhấp vào Áp dụng.

Để biết thông tin chi tiết về các sự kiện, hãy tham khảo bảng sau:

Tên sự kiện Nội dung mô tả
Liên kết khoá DBSC Đã thử liên kết phiên của người dùng với thiết bị của họ. Trạng thái sự kiện cho biết Thành công hoặc Không thành công. Nếu liên kết thành công, một cặp khoá TPM mới sẽ được tạo và khoá đó sẽ được liên kết với thiết bị.
Xác thực khoá DBSC

Đã xảy ra lỗi khi cố gắng xác thực khoá DBSC, dẫn đến một trong các mã lỗi sau:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.