Voorkom diefstal van cookies met sessiebinding (beta)

Als beheerder kunt u de beveiliging van de online sessies van uw gebruikers verbeteren door apparaatgebonden sessiegegevens (DBSC) te implementeren. DBSC is ontworpen om sessiekaping, ook wel bekend als cookie-diefstal, te voorkomen.

Dit type cyberaanval vindt plaats wanneer een onbevoegde partij de actieve websessie van een gebruiker overneemt door de sessiecookie te stelen – vaak via malware op het apparaat van de gebruiker. Een sessiecookie is een klein gegevensbestand dat de unieke sessie-identificatiecode bevat die door de website wordt uitgegeven tijdens het inloggen. Door deze gestolen cookie te presenteren, kan de aanvaller zich voordoen als de rechtmatige gebruiker en diens geauthenticeerde sessie voortzetten.

DBSC werkt door de sessie van een gebruiker te koppelen aan het specifieke apparaat, waardoor het voor aanvallers moeilijk wordt om gestolen cookies op andere apparaten te gebruiken. Door DBSC te gebruiken, kunt u het risico op ongeautoriseerde toegang tot gebruikersaccounts verlagen en gevoelige gebruikersgegevens beschermen.

Vereisten voor het gebruik van DBSC

  • Chrome voor Windows : Momenteel is DBSC alleen beschikbaar in de Chrome-browser voor Windows-apparaten.
  • Hardwarebeveiliging (TPM) : Het apparaat van de gebruiker moet beschikken over een Trusted Platform Module (TPM). Dit is een standaard hardwarecomponent die al beschikbaar is voor de meeste apparaten met Windows 11. Deze hardware slaat de cryptografische sleutels die worden gebruikt om de sessie aan het apparaat te koppelen, veilig op. Gebruikers kunnen informatie over de beschikbaarheid van een TPM doorgaans vinden in de systeeminstellingen van hun apparaat of in de documentatie van de fabrikant.
  • Chrome-versie : De gebruiker moet Chrome-versie 136 of hoger hebben. Ga naar Google Chrome bijwerken voor meer informatie.
  • Primair account : DBSC-beveiliging en logboekgebeurtenisgegevens zijn alleen beschikbaar voor het primaire account in een Chrome-browserprofiel.

Let op : Sessiebinding beschermt de meeste Google-cookies, hoewel sommige cookies of sessies mogelijk niet gebonden blijven.

Schakel DBSC in.

Voordat u begint: Leer indien nodig hoe u de instelling kunt toepassen op een afdeling of groep .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan Google sessiebeheer .

    Hiervoor is beheerdersrechten voor de beveiligingsinstellingen vereist.

  2. (Optioneel) Om de instelling alleen op bepaalde gebruikers toe te passen, selecteert u aan de zijkant een organisatie-eenheid (vaak gebruikt voor afdelingen) of configuratiegroep (geavanceerd).

    Groepsinstellingen hebben voorrang op organisatie-eenheden. Meer informatie

  3. Voor apparaatgebonden sessiegegevens selecteert u 'DBSC inschakelen' .
  4. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

    Om de overgeërfde waarde later te herstellen, klikt u op Overnemen (of Ongedaan maken voor een groep).

Handhaaf DBSC met contextbewuste toegang.

Beperkt tot webapplicaties voor desktops en niet van toepassing op mobiele apps of API's.

U kunt de beveiliging verder verbeteren door te vereisen dat gebruikers DBSC hebben om toegang te krijgen tot specifieke Google Workspace-apps. Wanneer u DBSC afdwingt, worden gebruikers gevraagd opnieuw in te loggen als het systeem een ​​verschil detecteert met een eerder tot stand gebrachte sessie. Deze herauthenticatie stelt het systeem in staat een nieuwe, veilige verbinding tot stand te brengen. Gebruikers op niet-ondersteunde platforms krijgen geen toegang tot de beveiligde app. Deze beveiligingsmaatregel wordt geconfigureerd via Context-Aware Access.

Om de DBSC-handhaving in te stellen:

  1. Schakel DBSC in voor de gebruikers die u wilt beschermen. Zie DBSC inschakelen voor de stappen.
  2. Volg de instructies om een ​​aangepast toegangsniveau te creëren in Toegang tot apps alleen toestaan ​​vanuit DBSC-gebonden sessies .
  3. Wijs het toegangsniveau toe aan de apps die alleen toegankelijk mogen zijn voor DBSC-gebonden sessies in de monitoringsmodus om de handhaving te simuleren zonder de gebruikerstoegang te blokkeren.
  4. Nadat u de impact hebt beoordeeld, wijst u in de actieve modus toegangsniveaus toe om toegang alleen af ​​te dwingen voor sessies die aan DBSC zijn gekoppeld. Zie Contextbewuste toegang implementeren voor meer informatie.

De handhaving van DBSC vindt niet onmiddellijk plaats. Dit betekent dat er na het inloggen van een gebruiker een respijtperiode is voordat de handhaving wordt toegepast. Dit ontwerp is bedoeld om mogelijke tijdelijke bindingsproblemen op te vangen. Zodra een verbinding tot stand is gebracht, controleert het systeem periodiek of gebruikers die toegang hebben tot de opgegeven apps een DBSC-gebonden sessie hebben. Elke herauthenticatie reset deze respijtperiode en DBSC wordt gedurende die herauthenticatie niet gehandhaafd.

Onderzoek DBSC-bescherming en sessieproblemen

U kunt de beveiligingsonderzoekstool gebruiken om de DBSC-beveiliging te controleren en problemen met sessieonderbrekingen op te lossen. Er zijn 2 logbronnen voor DBSC-activiteit:

  • Gebruikerslogboekgebeurtenissen — Bewaak de koppeling van toegangstokens aan gebruikersapparaten.
  • Toegang tot evaluatielogboekgebeurtenissen — Bekijk de status van specifieke cookies.

Stap 1: Zoek naar DBSC-activiteit in de gebruikerslogboekgebeurtenissen.

Gebruik deze gegevensbron om te controleren of DBSC sleutels succesvol koppelt aan gebruikersapparaten en sessies valideert.

Om te controleren of DBSC sleutels bindt:

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Selecteer bij Gegevensbron de optie Gebruikerslogboekgebeurtenissen .
  3. Klik op Voorwaarde toevoegen .
  4. Selecteer bij Attribuut de optie Gebeurtenis . en dan Is als operator en dan DBSC-sleutelbinding als gebeurtenis.
  5. Klik op Zoeken .
  6. Bekijk in de resultatenstabel de kolom 'Evenementstatus' :
    • Geslaagd —DBSC-beveiliging is ingeschakeld voor de gebruiker en de sessie is beveiligd.
    • Mislukt — De DBSC-binding is mislukt en de beveiliging is niet ingeschakeld voor de gebruiker.
    • Geen resultaten —DBSC-beveiliging is niet geprobeerd voor deze gebruikerssessie.

Om te controleren of DBSC sessies valideert:

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Voorwaarde toevoegen .
  3. Selecteer bij Attribuut de optie Gebeurtenis . en dan Is als operator en dan DBSC-sleutelvalidatie als gebeurtenis.
  4. Klik op Zoeken .
  5. Bekijk in de resultatenstabel de kolom 'Evenementstatus' :
    • Geslaagd — De cookie is succesvol gevalideerd.
    • Mislukt — DBSC-validatie is mislukt. Klik op de status voor meer informatie, zoals een foutcode.

Eén fout betekent niet per se dat de gebruiker sessieonderbrekingen ondervindt. Gebruikers kunnen wel onderbrekingen ervaren als er meerdere validatiefouten achter elkaar optreden.

Stap 2: Controleer op geweigerde toegang in de gebeurtenissen van het toegangsevaluatielogboek.

Gebruik deze gegevensbron om te controleren of de toegang tot een cookie van een gebruiker is geweigerd.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Selecteer bij Gegevensbron de optie Logboekgebeurtenissen voor toegang tot evaluatie .
  3. Klik op Voorwaarde toevoegen .
  4. Selecteer bij Attribuut de optie Gebeurtenis . en dan Is als operator en dan Weiger het cookievalidatieverzoek als de gebeurtenis.
  5. Klik op Zoeken .
  6. Klik in de resultatenstabel op 'Geweigerd' in de kolom 'Gebeurtenisstatus' of op de link in de kolom 'Beschrijving' om een ​​zijpaneel te openen waarin u de volgende redenen voor de fout kunt bekijken:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Loggebeurtenissen worden per sessie gegroepeerd. Er wordt slechts één gebeurtenis per gebruiker per uur geregistreerd, zelfs als er gedurende die tijd meerdere toegangspogingen worden geblokkeerd.

Stap 3: Onderzoek of de sessieonderbrekingen worden veroorzaakt door DBSC.

Gebruikers kunnen om verschillende redenen worden uitgelogd, zoals sessielimieten, door de beheerder gedefinieerde beleidsregels of netwerkproblemen. Hoewel een uitlogactie niet altijd wijst op een DBSC-probleem, kunnen specifieke logreeksen helpen bij het identificeren van mogelijke DBSC-gerelateerde activiteiten of gevallen waarin het systeem een ​​gecompromitteerde sessie heeft geblokkeerd.

Gebruik deze punten om activiteiten te identificeren die verband houden met DBSC:

  • Controleer de logreeksen — Als u DBSC-sleutelvalidatiefouten aantreft, gevolgd door een 'Deny Cookie Validation Request' , kan DBSC de oorzaak zijn van het uitloggen van de gebruiker.
  • Begrijp de impact op de gebruiker — Om het account veilig te houden, moet een gebruiker opnieuw inloggen als er een fout optreedt tijdens het koppelingsproces.
  • Gebruikers uitsluiten van DBSC — Als een gebruiker herhaaldelijk wordt uitgelogd, kunt u een configuratiegroep aanmaken die is uitgesloten van DBSC en de gebruiker aan die groep toevoegen om te onderzoeken of DBSC de oorzaak is van de uitlogpogingen.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.