منع سرقة ملفات تعريف الارتباط باستخدام ميزة ربط الجلسة

تعزّز Google Workspace تلقائيًا أمان جلسات المستخدمين على الإنترنت من خلال استخدام "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC). تم تصميم ميزة "بيانات اعتماد الجلسة المحصورة بالجهاز" لمنع استغلال الجلسات، والذي يُعرف أيضًا باسم سرقة ملفات تعريف الارتباط.

يحدث هذا النوع من الهجمات الإلكترونية عندما يحصل طرف غير مصرّح به على التحكّم في جلسة الويب النشطة للمستخدم من خلال سرقة ملف تعريف ارتباط الجلسة، وغالبًا ما يتم ذلك من خلال برامج ضارة على جهاز المستخدم. ملف تعريف ارتباط الجلسة هو ملف بيانات صغير يحتوي على معرّف الجلسة الفريد الذي يصدره الموقع الإلكتروني أثناء تسجيل الدخول. ومن خلال تقديم ملف تعريف الارتباط المسروق هذا، يمكن للمهاجم انتحال هوية المستخدم الشرعي ومواصلة جلسته المعتمَدة.

تعمل ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" من خلال ربط جلسة المستخدم بجهازه المحدّد، ما يجعل من الصعب على المهاجمين استخدام ملفات تعريف الارتباط المسروقة على الأجهزة الأخرى. يؤدي ذلك إلى إنشاء حدود أمان مستندة إلى الأجهزة تقلّل من خطر الوصول غير المصرّح به إلى حسابات المستخدمين وتحافظ على أمان البيانات الحسّاسة. يتم تفعيل ميزة "الاستهداف المستند إلى بيانات الموقع الجغرافي" تلقائيًا لجميع حسابات Workspace. لا يحتاج المشرف إلى اتّخاذ أي إجراء لتفعيل هذه الحماية.

متطلبات استخدام "بيانات اعتماد الجلسة المرتبطة بالجهاز"

  • متصفّح Chrome: الإصدار 146 أو إصدار أحدث لنظام التشغيل Windows والإصدار 148 أو إصدار أحدث لنظام التشغيل macOS لمزيد من التفاصيل، انتقِل إلى تحديث Google Chrome.
  • أمان الأجهزة: يتطلّب ميزات أمان مستندة إلى الأجهزة لتخزين مفاتيح التشفير المستخدَمة لربط الجلسة بالجهاز بشكل آمن. في Windows، يكون هذا المكوّن عبارة عن وحدة النظام الأساسي الموثوقة (TPM)، وهي مكوّن أساسي في معظم الأجهزة التي تعمل بنظام التشغيل Windows 11. في macOS، يكون ذلك من خلال Secure Enclave (متاح على معظم أجهزة الكمبيوتر المحمول Mac الحديثة). راجِع مستندات الشركة المصنّعة لجهازك للتأكّد من إمكانات الأجهزة.

كيفية تطبيق الحماية التي توفّرها "بيانات اعتماد الجلسة المحصورة بالجهاز"

يتم تطبيق الحماية التي توفّرها ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" تلقائيًا عندما يستوفي جهاز المستخدم ومتصفّحه المتطلبات الفنية اللازمة. في بعض الحالات، قد تبقى الجلسات غير مرتبطة. وفي ما يلي الأسباب الشائعة:

  • بيئة غير متوافقة: مشاكل في نظام تشغيل المستخدم أو إصدار المتصفّح أو أمان الجهاز (مثل وحدة TPM على Windows).
  • الجلسات الحالية: لا تنطبق حماية بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) إلا على الجلسات الجديدة. على المستخدمين الذين كانوا مسجّلين الدخول عند تفعيل ميزة "بيانات اعتماد لجلسة محصورة بالجهاز (DBSC)" تسجيل الخروج ثم تسجيل الدخول مرة أخرى لربط جلستهم.
  • تعديلات المتصفّح: يمكن أن تمنع بعض إضافات المتصفّح أو التغييرات اليدوية على ملفات تعريف الارتباط نظام DBSC من العمل بشكلٍ سليم.

فرض بيانات اعتماد لجلسة محصورة بالجهاز (DBSC) باستخدام إذن وصول مستنِد إلى السياق

يقتصر على تطبيقات الويب على أجهزة الكمبيوتر ولا ينطبق على التطبيقات على الأجهزة الجوّالة أو واجهات برمجة التطبيقات.

يمكنك تعزيز الأمان بشكل أكبر من خلال اشتراط أن يكون لدى المستخدمين "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) للوصول إلى تطبيقات Google Workspace معيّنة. عند فرض استخدام DBSC، يُطلب من المستخدمين تسجيل الدخول مرة أخرى إذا رصد النظام اختلافًا في جلسة مرتبطة تم إنشاؤها سابقًا. تتيح إعادة المصادقة هذه للنظام محاولة ربط جديد وآمن. يتم حظر المستخدمين على المنصات غير المتوافقة من الوصول إلى التطبيق المحمي. يتم ضبط تدبير الأمان هذا من خلال ميزة "إذن وصول مستنِد إلى السياق".

لتجهيز فرض "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC):

  1. يُرجى اتّباع التعليمات لإنشاء مستوى وصول مخصّص في السماح بالوصول إلى التطبيقات من الجلسات المرتبطة ببيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) فقط.
  2. يمكنك تحديد مستوى الوصول للتطبيقات التي تريد تمكين الوصول إليها فقط من خلال الجلسات المرتبطة ببيانات DBSC في وضع المراقبة لمحاكاة عملية فرض مستوى الوصول بدون حظر وصول المستخدم.
  3. بعد تقييم التأثير، يمكنك تحديد مستويات الوصول في وضع النشاط لفرض الوصول من خلال الجلسات المرتبطة ببيانات DBSC فقط. لمعرفة التفاصيل، يُرجى الانتقال إلى مقالة نشر ميزة "إذن وصول مستنِد إلى السياق".

يُرجى العلم أنّ فرض "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) لا يكون فوريًا، ما يعني أنّه بعد تسجيل دخول المستخدم، تكون هناك فترة سماح قبل فرض الميزة. يتيح هذا التصميم حلّ المشاكل المحتملة في الربط المؤقت. بعد الربط، يتحقّق النظام بشكل دوري من توفّر جلسات مرتبطة ببيانات DBSC لدى المستخدمين الذين يصلون إلى التطبيقات المحدّدة. ستؤدي أي عملية إعادة مصادقة إلى إعادة ضبط فترة السماح هذه، ولن يتم فرض بيانات DBSC أثناء عملية إعادة المصادقة هذه.

التحقيق في مشاكل الحماية والجلسات في "بيانات اعتماد الجلسة المرتبطة بالجهاز"

يمكنك استخدام "أداة التحقيق الأمني" لمراقبة حماية DBSC وتحديد المشاكل وحلّها عند انقطاع الجلسة. هناك مصدران لسجلات نشاط "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC):

  • أحداث سجلّ المستخدم: يمكنك تتبُّع ربط رموز الدخول بأجهزة المستخدمين.
  • أحداث سجلّ تقييم الوصول: راجِع حالة ملفات تعريف الارتباط المحدّدة.

ملاحظة: لا تظهر أحداث سجلّ DBSC إلا للحساب الأساسي عند تسجيل الدخول إلى ملف شخصي واحد في متصفّح Chrome باستخدام عدّة حسابات مستخدمين.

الخطوة 1: البحث عن نشاط DBSC في أحداث سجلّ المستخدم

استخدِم مصدر البيانات هذا لمعرفة ما إذا كانت ميزة "بيانات اعتماد لجلسة محصورة بالجهاز" تربط المفاتيح بأجهزة المستخدمين وتتحقّق من صحة الجلسات بنجاح.

للتأكّد مما إذا كانت ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" تربط المفاتيح، اتّبِع الخطوات التالية:

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. بالنسبة إلى مصدر البيانات، اختَر أحداث سجلّ المستخدم.
  3. انقر على إضافة شرط.
  4. بالنسبة إلى السمة، اختَر الحدثثمIs كعامل التشغيلثمربط مفتاح DBSC كحدث.
  5. انقر على بحث.
  6. في جدول النتائج، راجِع عمود حالة الحدث:
    • ناجح: تم تفعيل الحماية باستخدام ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" للمستخدم، والجلسة محمية.
    • تعذّر: تعذّر ربط بيانات اعتماد الجلسة المرتبطة بالجهاز، ولم يتم تفعيل الحماية للمستخدم.
    • لم يتم العثور على نتائج: لم تتم محاولة استخدام ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" لحماية جلسة المستخدم هذه.

للتحقّق مما إذا كانت ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) تتحقّق من صحة الجلسات، اتّبِع الخطوات التالية:

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. انقر على إضافة شرط.
  3. بالنسبة إلى السمة، اختَر الحدثثمIs كعامل التشغيلثمالتحقّق من صحة مفتاح DBSC كحدث.
  4. انقر على بحث.
  5. في جدول النتائج، راجِع عمود حالة الحدث:
    • ناجحة: تم التحقّق من صحة ملف تعريف الارتباط بنجاح.
    • تعذّر: تعذّر التحقّق من صحة بيانات اعتماد الجلسة المرتبطة بالجهاز. انقر على الحالة للحصول على معلومات إضافية، مثل رمز الخطأ.

لا يعني حدوث خطأ واحد بالضرورة أنّ المستخدم يواجه انقطاعات في الجلسة. قد تحدث انقطاعات إذا حدثت عدة أخطاء في التحقّق من الصحة على التوالي.

الخطوة 2: التحقّق من حالات رفض الوصول في أحداث سجلّ تقييم الوصول

استخدِم مصدر البيانات هذا لمعرفة ما إذا تم رفض وصول مستخدم إلى ملف تعريف الارتباط.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. بالنسبة إلى مصدر البيانات، اختَر أحداث سجلّ تقييم الوصول.
  3. انقر على إضافة شرط.
  4. بالنسبة إلى السمة، اختَر الحدثثمهو كعامل التشغيلثمرفض طلب التحقّق من صحة ملف تعريف الارتباط كحدث.
  5. انقر على بحث.
  6. في جدول النتائج، انقر على مرفوض في عمود حالة الحدث أو على الرابط في عمود الوصف لفتح لوحة جانبية يمكنك فيها مراجعة أسباب التعذّر التالية:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

يتم تجميع أحداث السجلّ حسب الجلسة. لإدارة حجم السجلّ، يتم تسجيل حدث واحد فقط كل ساعة لكل جلسة فريدة ونوع خطأ. ولا يتم تسجيل أي محاولات أخرى تتضمّن التفاصيل نفسها خلال تلك الساعة.

الخطوة 3: التحقّق ممّا إذا كانت انقطاعات الجلسة ناتجة عن DBSC

يمكن تسجيل خروج المستخدمين لأسباب مختلفة، مثل حدود مدة الجلسة أو السياسات التي يحدّدها المشرف أو مشاكل الشبكة. على الرغم من أنّ تسجيل الخروج لا يشير دائمًا إلى مشكلة في بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC)، يمكن أن تساعد تسلسلات السجلّ المحدّدة في تحديد الأنشطة المحتملة المرتبطة ببيانات اعتماد الجلسة المرتبطة بالجهاز أو الحالات التي حظر فيها النظام جلسة تم اختراقها.

استخدِم هذه النقاط للمساعدة في تحديد الأنشطة ذات الصلة بإطار الموافقة والشفافية:

  • مراجعة تسلسلات السجلّ: إذا تبيّن لك حدوث حالات تعذُّر التحقّق من مفتاح بيانات اعتماد الجلسة المرتبطة بالجهاز متبوعة بـ رفض طلب التحقّق من ملف تعريف الارتباط، قد تكون ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" هي السبب في تسجيل خروج المستخدم.
  • فهم التأثير على المستخدم: للحفاظ على أمان الحساب، على المستخدم تسجيل الدخول مرة أخرى إذا حدث خطأ في عملية الربط.


إنّ Google وGoogle Workspace والعلامات والشعارات ذات الصلة هي علامات تجارية (TM) تابعة لشركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية (TM) تملكها الشركات ذات الصلة بها.