Ngăn chặn hành vi đánh cắp cookie bằng tính năng liên kết phiên (bản thử nghiệm)

Là quản trị viên, bạn có thể tăng cường bảo mật cho các phiên trực tuyến của người dùng bằng cách triển khai Thông tin xác thực phiên được liên kết với thiết bị (DBSC). DBSC được thiết kế để ngăn chặn hành vi chiếm đoạt phiên, còn được gọi là đánh cắp cookie.

Loại tấn công mạng này xảy ra khi một bên trái phép giành được quyền kiểm soát phiên hoạt động trên web của người dùng bằng cách đánh cắp cookie của phiên – thường là thông qua phần mềm độc hại trên thiết bị của người dùng. Cookie của phiên là một tệp dữ liệu nhỏ chứa giá trị nhận dạng phiên duy nhất do trang web phát hành trong quá trình đăng nhập. Bằng cách xuất trình cookie bị đánh cắp này, kẻ tấn công có thể mạo danh người dùng hợp pháp và tiếp tục phiên đã xác thực của họ.

DBSC hoạt động bằng cách liên kết phiên của người dùng với thiết bị cụ thể của họ, khiến kẻ tấn công khó sử dụng cookie bị đánh cắp trên các thiết bị khác. Bằng cách sử dụng DBSC, bạn có thể giảm nguy cơ truy cập trái phép vào tài khoản người dùng, đảm bảo an toàn cho dữ liệu người dùng nhạy cảm.

Yêu cầu để sử dụng DBSC

  • Chrome cho Windows: Hiện tại, DBSC chỉ có trên trình duyệt Chrome dành cho thiết bị Windows.
  • Bảo mật phần cứng (TPM): Thiết bị của người dùng phải có Mô-đun nền tảng đáng tin cậy (TPM). Đây là một thành phần phần cứng tiêu chuẩn đã có sẵn cho hầu hết các thiết bị chạy Windows 11. Phần cứng này lưu trữ an toàn các khoá mật mã dùng để liên kết phiên với thiết bị. Thông thường, người dùng có thể tìm thấy thông tin về trạng thái sẵn có của TPM trong phần cài đặt hệ thống của thiết bị hoặc bằng cách tham khảo tài liệu của nhà sản xuất thiết bị.
  • Phiên bản Chrome: Người dùng phải sử dụng Chrome phiên bản 136 trở lên. Để biết thông tin chi tiết, hãy xem bài viết Cập nhật Google Chrome.
  • Tài khoản chính: Chế độ bảo vệ DBSC và dữ liệu sự kiện trong nhật ký chỉ có sẵn cho tài khoản chính trong hồ sơ trình duyệt Chrome.

Lưu ý: Tính năng liên kết phiên bảo vệ hầu hết các cookie của Google, mặc dù một số cookie hoặc phiên có thể vẫn không được liên kết.

Bật DBSC

Trước khi bắt đầu: Nếu cần, hãy tìm hiểu cách áp dụng chế độ cài đặt cho một bộ phận hoặc nhóm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đó Quyền truy cập và kiểm soát dữ liệu sau đó Kiểm soát phiên truy cập vào Google.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  3. Đối với Thông tin xác thực phiên được liên kết với thiết bị, hãy chọn Bật DBSC.
  4. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa (hoặc Không đặt đối với nhóm).

Thực thi DBSC bằng tính năng Quyền truy cập dựa trên bối cảnh

Chỉ áp dụng cho ứng dụng web trên máy tính và không áp dụng cho ứng dụng di động hoặc API

Bạn có thể tăng cường bảo mật hơn nữa bằng cách yêu cầu người dùng phải có DBSC để truy cập vào các ứng dụng cụ thể của Google Workspace. Khi bạn thực thi DBSC, người dùng sẽ được nhắc đăng nhập lại nếu hệ thống phát hiện thấy sự khác biệt với một phiên liên kết đã được thiết lập trước đó. Việc xác thực lại này cho phép hệ thống thử một liên kết mới và an toàn. Người dùng trên các nền tảng không được hỗ trợ sẽ bị chặn truy cập vào ứng dụng được bảo vệ. Biện pháp bảo mật này được định cấu hình thông qua tính năng Quyền truy cập dựa trên bối cảnh.

Cách thiết lập chế độ thực thi DBSC:

  1. Bật DBSC cho những người dùng mà bạn muốn bảo vệ. Để biết các bước, hãy xem phần Bật DBSC.
  2. Làm theo hướng dẫn để tạo cấp truy cập tuỳ chỉnh trong Chỉ cho phép truy cập vào các ứng dụng từ những phiên bị ràng buộc với DBSC.
  3. Chỉ định cấp truy cập cho những ứng dụng mà bạn muốn chỉ có các phiên bị ràng buộc bởi DBSC truy cập ở chế độ giám sát để mô phỏng việc thực thi mà không chặn quyền truy cập của người dùng.
  4. Sau khi đánh giá tác động, hãy chỉ định cấp truy cập ở chế độ đang hoạt động để thực thi truy cập chỉ bằng các phiên được liên kết với DBSC. Để biết thông tin chi tiết, hãy xem bài viết Triển khai tính năng Truy cập dựa trên bối cảnh.

Việc thực thi DBSC không diễn ra ngay lập tức, tức là sau khi người dùng đăng nhập, sẽ có một khoảng thời gian ân hạn trước khi việc thực thi được áp dụng. Thiết kế này có thể giải quyết các vấn đề tạm thời về việc liên kết. Sau khi liên kết, hệ thống sẽ định kỳ kiểm tra xem người dùng truy cập vào các ứng dụng được chỉ định có phiên liên kết với DBSC hay không. Mọi lần xác thực lại sẽ đặt lại thời gian ân hạn này và DBSC sẽ không được thực thi trong quá trình xác thực lại đó.

Điều tra các vấn đề về bảo vệ và phiên DBSC

Bạn có thể sử dụng công cụ điều tra bảo mật để theo dõi hoạt động bảo vệ DBSC và khắc phục sự cố gián đoạn phiên. Có 2 nguồn nhật ký cho hoạt động DBSC:

  • Sự kiện trong nhật ký người dùng – Giám sát việc liên kết mã thông báo truy cập với thiết bị của người dùng.
  • Sự kiện trong nhật ký Đánh giá quyền truy cập – Xem trạng thái của các cookie cụ thể.

Bước 1: Tìm hoạt động DBSC trong sự kiện Nhật ký người dùng

Sử dụng nguồn dữ liệu này để xem liệu DBSC có liên kết thành công các khoá với thiết bị của người dùng và xác thực các phiên hay không.

Cách kiểm tra xem DBSC có đang liên kết các khoá hay không:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Đối với Nguồn dữ liệu, hãy chọn Sự kiện trong nhật ký người dùng.
  3. Nhấp vào Thêm điều kiện.
  4. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóLiên kết khoá DBSC làm sự kiện.
  5. Nhấp vào phần Tìm kiếm.
  6. Trong bảng kết quả, hãy xem cột Trạng thái sự kiện:
    • Thành công – Chế độ bảo vệ DBSC được bật cho người dùng và phiên được bảo vệ.
    • Không thành công – Không liên kết được DBSC và người dùng không bật chế độ bảo vệ.
    • Không có kết quả – Không có biện pháp bảo vệ DBSC nào được thực hiện cho phiên người dùng này.

Cách kiểm tra xem DBSC có xác thực các phiên hay không:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Thêm điều kiện.
  3. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóXác thực khoá DBSC làm sự kiện.
  4. Nhấp vào phần Tìm kiếm.
  5. Trong bảng kết quả, hãy xem cột Trạng thái sự kiện:
    • Thành công – Cookie đã được xác thực thành công.
    • Không thành công – Không xác thực được DBSC. Nhấp vào trạng thái để biết thêm thông tin, chẳng hạn như mã lỗi.

Một lần thất bại không nhất thiết có nghĩa là người dùng đang gặp phải tình trạng gián đoạn phiên. Người dùng có thể bị gián đoạn nếu nhiều lỗi xác thực xảy ra liên tiếp.

Bước 2: Kiểm tra xem có trường hợp từ chối truy cập nào trong phần Sự kiện trong nhật ký Đánh giá quyền truy cập hay không

Sử dụng nguồn dữ liệu này để xem liệu cookie của người dùng có bị từ chối quyền truy cập hay không.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Đối với Nguồn dữ liệu, hãy chọn Sự kiện trong nhật ký Đánh giá quyền truy cập.
  3. Nhấp vào Thêm điều kiện.
  4. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóTừ chối yêu cầu xác thực cookie làm sự kiện.
  5. Nhấp vào phần Tìm kiếm.
  6. Trong bảng kết quả, hãy nhấp vào Bị từ chối trong cột Trạng thái sự kiện hoặc nhấp vào đường liên kết trong cột Mô tả để mở một bảng điều khiển bên, nơi bạn có thể xem các lý do thất bại sau đây:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Các sự kiện trong nhật ký được nhóm theo phiên. Hệ thống chỉ ghi nhận một sự kiện cho mỗi người dùng mỗi giờ, ngay cả khi có nhiều lần truy cập bị chặn trong khoảng thời gian đó.

Bước 3: Điều tra xem có phải DBSC gây ra tình trạng gián đoạn phiên hay không

Người dùng có thể bị đăng xuất vì nhiều lý do, chẳng hạn như giới hạn về thời lượng phiên, chính sách do quản trị viên xác định hoặc sự cố về mạng. Mặc dù không phải lúc nào việc đăng xuất cũng cho thấy vấn đề về DBSC, nhưng các chuỗi nhật ký cụ thể có thể giúp xác định hoạt động liên quan đến DBSC tiềm ẩn hoặc các trường hợp hệ thống chặn một phiên bị xâm nhập.

Hãy sử dụng những điểm sau để xác định hoạt động liên quan đến DBSC:

  • Xem xét các chuỗi nhật ký – Nếu bạn thấy lỗi xác thực khoá DBSC, sau đó là Yêu cầu từ chối xác thực cookie, thì DBSC có thể là nguyên nhân khiến người dùng đăng xuất.
  • Hiểu rõ tác động đối với người dùng – Để giữ an toàn cho tài khoản, người dùng cần đăng nhập lại nếu quá trình liên kết gặp lỗi.
  • Miễn cho người dùng khỏi DBSC – Nếu người dùng liên tục bị đăng xuất, bạn có thể tạo một nhóm cấu hình được miễn DBSC và thêm người dùng đó vào nhóm để đánh giá xem DBSC có gây ra tình trạng đăng xuất hay không.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.