Предотвратите кражу файлов cookie с помощью привязки сессий.

Google Workspace автоматически повышает безопасность онлайн-сессий пользователей, используя учетные данные сессии, привязанные к устройству (DBSC). DBSC предназначен для предотвращения перехвата сессий, также известного как кража файлов cookie.

Этот тип кибератаки происходит, когда неуполномоченное лицо получает контроль над активной веб-сессией пользователя, украв сессионный cookie-файл — часто с помощью вредоносного ПО на устройстве пользователя. Сессионный cookie-файл — это небольшой файл данных, содержащий уникальный идентификатор сессии, выданный веб-сайтом при входе в систему. Предъявив этот украденный cookie-файл, злоумышленник может выдать себя за законного пользователя и продолжить его аутентифицированную сессию.

DBSC работает путем привязки сессии пользователя к его конкретному устройству, что затрудняет злоумышленникам использование украденных cookie-файлов на других устройствах. Это создает аппаратную защиту, которая снижает риск несанкционированного доступа к учетным записям пользователей и обеспечивает безопасность конфиденциальных данных. DBSC включен по умолчанию для всех учетных записей Workspace. Для активации этой защиты не требуется никаких действий со стороны администратора.

Требования к использованию DBSC

  • Браузер Chrome : версия 146 или более поздняя для Windows и версия 148 или более поздняя для macOS. Подробности см. на странице «Обновить Google Chrome» .
  • Аппаратная безопасность: Требуются аппаратные средства защиты для безопасного хранения криптографических ключей, используемых для привязки сессии к устройству. Для Windows это модуль доверенной платформы (TPM), который является стандартным для большинства устройств под управлением Windows 11. Для macOS это защищенный анклав (доступен на большинстве современных ноутбуков Mac). Для подтверждения аппаратных возможностей обратитесь к документации производителя вашего устройства.

Как применяется защита DBSC

Защита DBSC применяется автоматически, когда устройство и браузер пользователя соответствуют необходимым техническим требованиям. В некоторых случаях сессии могут оставаться несвязанными. Распространенные причины включают:

  • Неподдерживаемая среда — проблемы с операционной системой пользователя, версией браузера или безопасностью оборудования (например, TPM в Windows).
  • Существующие сессии — защита DBSC применяется только к новым сессиям. Пользователи, которые уже были авторизованы на момент включения DBSC, должны выйти из системы и войти снова, чтобы привязать свою сессию.
  • Модификации браузера — Некоторые расширения браузера или ручные изменения файлов cookie могут препятствовать корректной работе DBSC.

Внедрите DBSC с контекстно-зависимым доступом.

Применимо только к веб-приложениям для настольных компьютеров и не подходит для мобильных приложений или API.

Вы можете дополнительно повысить безопасность, потребовав от пользователей наличия DBSC для доступа к определенным приложениям Google Workspace. При принудительном использовании DBSC пользователям будет предложено повторно войти в систему, если система обнаружит расхождение с ранее установленной привязанной сессией. Эта повторная аутентификация позволяет системе попытаться установить новую, безопасную привязку. Пользователи на неподдерживаемых платформах будут заблокированы от доступа к защищенному приложению. Эта мера безопасности настраивается с помощью контекстно-зависимого доступа.

Для настройки принудительного применения DBSC:

  1. Следуйте инструкциям, чтобы создать пользовательский уровень доступа в параметре «Разрешить доступ к приложениям только из сеансов, привязанных к DBSC» .
  2. Назначьте уровень доступа приложениям, к которым вы хотите разрешить доступ только сеансам, ограниченным DBSC, в режиме мониторинга , чтобы имитировать принудительное применение правил без блокировки доступа пользователей.
  3. После оценки последствий назначьте уровни доступа в активном режиме , чтобы обеспечить доступ только для сеансов, привязанных к DBSC. Подробности см. в разделе «Развертывание контекстно-зависимого доступа» .

Применение DBSC происходит не мгновенно, то есть после входа пользователя в систему предоставляется льготный период до начала применения мер принуждения. Такая конструкция учитывает потенциальные временные проблемы с привязкой. После привязки система периодически проверяет, есть ли у пользователей, обращающихся к указанным приложениям, сессии, привязанные к DBSC. Любая повторная аутентификация обнуляет этот льготный период, и DBSC не будет применяться во время этой повторной аутентификации.

Исследуйте проблемы с защитой и сессиями DBSC.

С помощью инструмента расследования инцидентов безопасности можно отслеживать работу защиты DBSC и устранять неполадки, связанные с прерыванием сеансов. Для отслеживания активности DBSC используются 2 источника журналов:

  • Журнал событий пользователя — отслеживание привязки токенов доступа к устройствам пользователей.
  • Журнал событий оценки доступа — просмотр состояния конкретных файлов cookie.

Примечание: события журнала DBSC отображаются только для основной учетной записи, если несколько учетных записей пользователей вошли в один и тот же профиль браузера Chrome.

Шаг 1: Найдите активность DBSC в журнале событий пользователя.

Используйте этот источник данных, чтобы проверить, успешно ли DBSC привязывает ключи к устройствам пользователей и проверяет ли сессии.

Чтобы проверить, привязывает ли DBSC ключи:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В поле «Источник данных» выберите «События журнала пользователя» .
  3. Нажмите «Добавить условие» .
  4. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Привязка клавиш DBSC как событие.
  5. Нажмите «Поиск» .
  6. В таблице результатов просмотрите столбец «Статус события» :
    • Успешно — защита DBSC включена для пользователя, и сессия защищена.
    • Сбой — Сбой привязки DBSC, и защита для пользователя не включена.
    • Результаты отсутствуют — для данной пользовательской сессии защита DBSC не предпринималась.

Чтобы проверить, выполняет ли DBSC проверку сессий:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Нажмите «Добавить условие» .
  3. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Проверка ключа DBSC как событие.
  4. Нажмите «Поиск» .
  5. В таблице результатов просмотрите столбец «Статус события» :
    • Успешно — Файл cookie успешно проверен.
    • Сбой — Проверка DBSC завершилась неудачей. Щелкните по статусу, чтобы получить дополнительную информацию, например, код ошибки.

Одна ошибка не обязательно означает прерывание сеанса. Прерывания могут происходить, если подряд происходит несколько ошибок проверки.

Шаг 2: Проверьте наличие отказов в доступе в событиях журнала оценки доступа.

Используйте этот источник данных, чтобы узнать, был ли пользователю запрещен доступ к cookie-файлу.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. В поле «Источник данных» выберите «События журнала оценки доступа» .
  3. Нажмите «Добавить условие» .
  4. В поле «Атрибут» выберите «Событие». а потом Является ли он оператором? а потом Отклонить запрос на проверку файлов cookie как событие.
  5. Нажмите «Поиск» .
  6. В таблице результатов щелкните «Отклонено» в столбце «Статус события» или ссылку в столбце «Описание» , чтобы открыть боковую панель, где вы можете просмотреть следующие причины сбоя:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

События в журнале группируются по сессиям. Для управления объемом записей в журнале регистрируется только одно событие в час для каждой уникальной сессии и типа ошибки. Любые другие попытки с теми же данными не регистрируются в течение этого часа.

Шаг 3: Выясните, вызваны ли прерывания сеанса программой DBSC.

Пользователи могут быть отключены от системы по различным причинам, таким как ограничения по продолжительности сеанса, политики, установленные администратором, или проблемы с сетью. Хотя отключение от системы не всегда указывает на проблему с DBSC, определенные последовательности журналов могут помочь выявить потенциальную активность, связанную с DBSC, или случаи, когда система заблокировала скомпрометированный сеанс.

Используйте эти пункты, чтобы определить действия, связанные с DBSC:

  • Проанализируйте последовательность журналов — если вы обнаружите ошибки проверки ключа DBSC, за которыми следует запрос на отказ в проверке cookie , DBSC может быть причиной выхода пользователя из системы.
  • Поймите влияние на пользователя — Для обеспечения безопасности учетной записи пользователю необходимо повторно войти в систему, если в процессе привязки возникнет ошибка.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.