用工作階段繫結功能防止 Cookie 遭竊 (Beta 版)

管理員可以運用裝置繫結工作階段憑證 (DBSC)，進一步保障使用者線上工作階段的安全。DBSC 旨在防範工作階段駭客攻擊 (也稱為 Cookie 盜用)。

這類網路攻擊發生時，未經授權的對象會盜用使用者在登入期間由網站發出的工作階段 Cookie (內含不重複工作階段 ID 的小型資料檔案)，進而取得使用者目前網頁工作階段的控制權。攻擊者只要出示遭盜用的 Cookie，就能冒用合法使用者的身分，並繼續已通過驗證的工作階段。

DBSC 會將使用者的工作階段繫結至特定裝置，讓攻擊者難以在其他裝置上使用遭盜用的 Cookie。如此一來，便能降低使用者帳戶遭未經授權存取的風險，確保機密使用者資料安全無虞。

DBSC 的使用規定

目前 DBSC 僅適用於 Windows 裝置上的 Chrome 瀏覽器。
使用者的裝置必須具備信任平台模組 (TPM)。多數搭載 Windows 11 的裝置均已配備這個標準硬體元件，可以安全儲存及處理密碼資料。使用者通常可在裝置的系統設定或製造商說明文件中，找到 TPM 可用性相關資訊。
使用者的 Chrome 瀏覽器需為 136 以上版本。詳情請參閱「更新 Google Chrome」。

注意：在 Beta 版階段，工作階段繫結功能只會保護部分 Google Cookie，因此並非所有使用者的 Cookie 都會受到保護。

事前準備：如有需要，請參閱這篇文章，瞭解如何將設定套用至特定部門或群組。

在 Google 管理控制台中，依序點選「選單」圖示「安全性」「存取權與資料控管」「Google 工作階段控制設定」。

前往「Google 工作階段控制設定」頁面

必須具備安全性設定管理員權限。
(選用) 如果只要為部分使用者套用設定，請在側邊選取「機構單位」 (通常用於部門) 或「配置群組」 (進階)。
群組設定會覆寫機構單位。瞭解詳情
在「裝置繫結工作階段憑證」部分，選取「啟用 DBSC」。
按一下「儲存」。如果是機構單位，您也可以按一下「覆寫」。
如要日後還原沿用的值，請按一下「沿用」 (如果是群組，請點選「取消設定」)。

啟用 DBSC 後，使用者可能會遇到下列情況：

工作階段中斷：如果使用者的工作階段有效，但繫結程序發生錯誤，系統會要求使用者重新登入。這是為了保護使用者的帳戶和資料。
重複發生問題：如果使用者重複遇到 DBSC 問題，可能會經常遭到登出。如果發生這種情況，使用者應請管理員協助排解問題，例如停用帳戶的 DBSC 功能。管理員可以建立不啟用 DBSC 的群組，然後將使用者加入該群組。

僅限電腦版網頁應用程式，不適用於行動應用程式或 API

您可以規定使用者必須啟用 DBSC，才能存取特定 Google Workspace 應用程式，進一步加強安全防護。如果使用者的工作階段未完成 DBSC 繫結，便嘗試存取受保護的應用程式，系統便會拒絕存取。這項安全措施需透過情境感知存取權設定。

系統不會立即強制執行 DBSC。也就是說，使用者登入後會有一段寬限期，之後這項機制才會強制執行。這項設計是為了應對繫結時可能暫時出現的問題。繫結完成後，系統會定期檢查使用者存取指定應用程式時，所用工作階段是否已完成 DBSC 繫結。只要重新驗證，寬限期就會重新計算，期間不會強制執行 DBSC。

啟用 DBSC 後，您可以查看使用者記錄事件，確認是否發生 DBSC 事件。舉例來說，您可以檢查 DBSC 金鑰繫結是否成功。

注意：如果多個使用者帳戶登入同一個 Chrome 瀏覽器設定檔，只有主要帳戶會顯示 DBSC 記錄事件。

如要檢查是否發生事件，請按照下列步驟操作：

如要進一步瞭解事件，請參閱下表：

事件名稱

說明

DBSC 金鑰繫結

嘗試將使用者工作階段繫結至裝置。活動狀態會顯示「成功」或「失敗」。如果繫結成功，系統會產生新的 TPM 金鑰組，並將金鑰繫結至裝置。

DBSC 金鑰驗證

嘗試驗證 DBSC 金鑰時發生錯誤，導致出現下列其中一組錯誤代碼：

Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標，所有其他公司和產品名稱則是與個別公司關聯的商標。