用工作階段繫結功能防止 Cookie 遭竊

Google Workspace 會自動使用裝置綁定工作階段憑證 (DBSC),進一步保障使用者線上工作階段的安全。DBSC 旨在防範工作階段駭客攻擊 (也稱為 Cookie 盜用)。

這類網路攻擊發生時,未經授權的對象會盜用工作階段 Cookie (通常是透過使用者裝置上的惡意軟體),進而取得使用者目前網頁工作階段的控制權。工作階段 Cookie 是內含不重複工作階段 ID 的小型資料檔案,由網站在登入期間發出。攻擊者只要出示遭盜用的 Cookie,就能冒用合法使用者的身分,並繼續已通過驗證的工作階段。

DBSC 會將使用者的工作階段繫結至特定裝置,讓攻擊者難以在其他裝置上使用遭盜用的 Cookie。這會建立以硬體為基礎的安全邊界,降低使用者帳戶遭未經授權存取的風險,確保機密資料安全無虞。所有 Workspace 帳戶預設都會啟用 DBSC。這項保護措施會自動啟用,管理員無須採取任何行動。

DBSC 的使用規定

  • Chrome 瀏覽器:Windows 必須為 146 以上版本,macOS 則為 148 以上版本。詳情請參閱「更新 Google Chrome」。
  • 硬體安全防護:需要硬體安全防護功能,才能安全儲存用於將工作階段繫結至裝置的加密金鑰。如果是 Windows,這是指信任平台模組 (TPM),多數搭載 Windows 11 的裝置均已配備這個標準元件。如果是 macOS,則是安全防護區 (適用於最新款的 Mac 筆電)。請參閱裝置製造商的說明文件,確認硬體功能。

DBSC 保護機制的套用方式

當使用者的裝置和瀏覽器符合必要技術條件時,系統會自動套用 DBSC 保護措施。在某些情況下,工作階段可能仍未繫結。常見的原因包括:

  • 不支援的環境:使用者作業系統、瀏覽器版本或硬體安全性 (例如 Windows 上的 TPM) 有問題。
  • 現有工作階段:DBSC 保護措施只會套用至新工作階段。如果使用者在啟用 DBSC 時已登入,則必須登出並重新登入,才能繫結工作階段。
  • 瀏覽器修改:某些瀏覽器擴充功能或手動變更 Cookie 的行為,可能會導致 DBSC 無法正常運作。

透過情境感知存取權強制執行 DBSC

僅限電腦版網頁應用程式,不適用於行動應用程式或 API

您可以規定使用者必須啟用 DBSC,才能存取特定 Google Workspace 應用程式,進一步加強安全防護。強制執行 DBSC 時,如果系統偵測到與先前建立的繫結工作階段有差異,就會提示使用者重新登入。重新驗證後,系統會嘗試建立新的安全繫結。如果使用者透過不支援的平台存取受保護的應用程式,系統會封鎖存取權。這項安全措施需透過情境感知存取權設定。

如何設定強制執行 DBSC:

  1. 請按照「僅允許透過 DBSC 繫結工作階段存取應用程式」的說明,建立自訂存取層級。
  2. 在「監控模式」中,將存取層級指派給您希望只允許 DBSC 繫結工作階段存取的應用程式,即可模擬強制執行的效果,而不必實際封鎖使用者存取權。
  3. 評估影響後,請在「正常模式」中指派存取層級,強制要求只有 DBSC 繫結工作階段才能存取。詳情請參閱「部署情境感知存取權」。

系統不會立即強制執行 DBSC。也就是說,使用者登入後會有一段寬限期,之後這項機制才會強制執行。這項設計是為了應對繫結時可能暫時出現的問題。繫結完成後,系統會定期檢查使用者存取指定應用程式時,所用工作階段是否已完成 DBSC 繫結。只要重新驗證,寬限期就會重新計算,期間不會強制執行 DBSC。

調查 DBSC 保護機制和工作階段問題

您可以使用安全調查工具監控 DBSC 保護機制,並排解工作階段中斷問題。DBSC 活動有 2 個記錄來源:

  • 使用者記錄事件:監控存取權杖與使用者裝置的繫結情形。
  • 「存取權評估」記錄事件:查看特定 Cookie 的狀態。

注意:如果多個使用者帳戶登入同一個 Chrome 瀏覽器設定檔,只有主要帳戶會顯示 DBSC 記錄事件。

步驟 1:在使用者記錄事件中搜尋 DBSC 活動

使用這個資料來源,查看 DBSC 是否成功將金鑰繫結至使用者裝置,並驗證工作階段。

如要檢查 DBSC 是否繫結金鑰:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」的「使用者記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰繫結」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,查看「活動狀態」欄:
    • 成功:已為使用者啟用 DBSC 保護機制,且工作階段受到保護。
    • 失敗:DBSC 繫結失敗,且未為使用者啟用保護措施。
    • 沒有結果:系統未嘗試為這個使用者工作階段提供 DBSC 保護。

如何檢查 DBSC 是否正在驗證工作階段:

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 按一下「新增條件」
  3. 在「屬性」部分,選取「事件」接下來「為」做為運算子接下來「DBSC 金鑰驗證」做為事件。
  4. 按一下 [搜尋]
  5. 在結果表格中,查看「活動狀態」欄:
    • 成功:已成功驗證 Cookie。
    • 失敗:DBSC 驗證失敗。按一下狀態即可查看詳細資訊,例如錯誤代碼。

一次失敗不一定表示使用者遇到工作階段中斷問題。如果連續發生多次驗證失敗,使用者可能會遭到中斷。

步驟 2:在存取權評估記錄事件中檢查存取遭拒的情況

使用這個資料來源,查看使用者是否拒絕存取 Cookie。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「安全中心」 接下來「調查工具」

    必須擁有安全中心管理員權限。

  2. 選取「資料來源」,然後選取「存取權評估記錄事件」
  3. 按一下「新增條件」
  4. 針對「屬性」,選取「事件」接下來「為」做為運算子接下來「拒絕 Cookie 驗證要求」做為事件。
  5. 按一下 [搜尋]
  6. 在結果表格中,按一下「事件狀態」欄中的「已拒絕」,或「說明」欄中的連結,開啟側邊面板,查看下列失敗原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

記錄事件會按工作階段分組。為管理記錄量,每個不重複的工作階段和失敗類型每小時只會記錄一個事件。在該小時內,系統不會記錄任何其他使用相同詳細資料的嘗試。

步驟 3:調查 DBSC 是否導致工作階段中斷

使用者可能會因為各種原因登出,例如工作階段長度限制、管理員定義的政策或網路問題。雖然登出不一定表示 DBSC 有問題,但特定記錄序列有助於找出潛在的 DBSC 相關活動,或是系統封鎖遭入侵工作階段的案例。

請根據下列幾點,找出與 DBSC 相關的活動:

  • 查看記錄序列:如果發現 DBSC 金鑰驗證失敗,接著出現「拒絕 Cookie 驗證要求」,則使用者登出可能是 DBSC 造成。
  • 瞭解對使用者的影響:為確保帳戶安全,如果繫結程序發生錯誤,使用者必須重新登入。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。