通过会话绑定功能防止 Cookie 被盗

Google Workspace 会使用设备绑定会话凭证 (DBSC) 自动增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。

此类网络攻击发生在未经授权的第三方通过盗取会话 Cookie(通常是通过用户设备上的恶意软件)来控制用户的活动网络会话时。会话 Cookie 是一个小型数据文件,其中包含网站在登录期间发出的唯一会话标识符。通过利用此被盗 Cookie,攻击者可冒充合法用户并继续其已验证的会话。

DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗 Cookie。这样一来,系统便会创建一个基于硬件的安全边界,从而降低用户账号遭受未经授权访问的风险,并确保敏感数据的安全。DBSC 默认对所有 Workspace 账号处于开启状态。管理员无需执行任何操作即可启用此保护机制。

使用 DBSC 的要求

  • Chrome 浏览器:Windows 版 146 或更高版本,macOS 版 148 或 更高版本。如需了解详情,请参阅更新 Google Chrome
  • 硬件安全 :需要基于硬件的安全功能,以安全地存储用于将会话绑定到设备的加密密钥。 对于 Windows,这是可信平台模块 (TPM), 大多数运行 Windows 11 的设备都标配了该模块。对于 macOS,这是安全 隔离区(适用于大多数最新的 Mac 笔记本电脑)。请参阅设备制造商的文档,以确认硬件功能。

如何应用 DBSC 保护机制

当用户的设备和浏览器满足必要的技术要求时,系统会自动应用 DBSC 保护机制。在某些情况下,会话可能会保持未绑定状态。常见原因包括:

  • 不受支持的环境:用户操作系统、浏览器 版本或硬件安全(例如 Windows 上的 TPM)存在问题。
  • 现有会话:DBSC 保护机制仅适用于新会话。在 DBSC 开启时已登录的用户必须先退出账号,然后重新登录才能绑定其会话。
  • 浏览器修改:某些浏览器扩展程序或对 Cookie 的手动更改可能会阻止 DBSC 正常运行。

使用情境感知访问权限强制执行 DBSC

仅限桌面版 Web 应用,不适用于移动应用或 API

您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。当您强制执行 DBSC 时,如果系统检测到与之前建立的绑定会话存在差异,系统会提示用户重新登录。通过重新进行身份验证,系统可以尝试建立新的安全绑定。系统会阻止不受支持平台上的用户访问受保护的应用。此安全措施通过情境感知访问权限进行配置。

如需设置 DBSC 强制执行,请执行以下操作:

  1. 按照仅允许通过 DBSC 绑定的会话 访问应用 中的说明创建自定义访问权限级别
  2. 监控模式 下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
  3. 评估影响后,请在活动模式 下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署 情境感知访问权限

DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计可应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否具有 DBSC 绑定会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。

调查 DBSC 保护机制和会话问题

您可以使用安全调查工具监控 DBSC 保护机制并排查会话中断问题。DBSC 活动有 2 个日志来源:

  • 用户日志事件:监控访问令牌与用户设备的绑定情况。
  • 访问评估日志事件:查看特定 Cookie 的状态。

注意 :如果多用户账号登录了同一 Chrome 浏览器个人资料,则只有主账户才能看到 DBSC 日志事件。

第 1 步:在用户日志 事件中搜索 DBSC 活动

使用此数据源查看 DBSC 是否成功将密钥绑定到用户 设备并验证会话。

如需检查 DBSC 是否正在绑定密钥,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择用户日志 事件
  3. 点击添加条件
  4. 对于属性 ,请选择事件然后 为运算符然后DBSC 密钥 绑定 作为事件。
  5. 点击搜索
  6. 在结果表中,查看事件状态 列:
    • 成功:DBSC 保护机制已为 用户开启,会话受到保护。
    • 失败:DBSC 绑定失败,保护机制 未为用户开启。
    • 无结果:系统未尝试为此用户会话启用 DBSC 保护机制。

如需检查 DBSC 是否正在验证会话,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击添加条件
  3. 对于属性,请选择事件然后作为运算符然后DBSC 密钥验证作为事件。
  4. 点击搜索
  5. 在结果表中,查看事件状态 列:
    • 成功:Cookie 已成功通过验证。
    • 失败:DBSC 验证失败。点击状态 可获取其他信息,例如错误代码。

一次失败并不一定意味着用户遇到了会话 中断问题。如果连续发生多次验证 失败,用户可能会遇到中断问题。

第 2 步:在访问 评估日志事件中检查访问遭拒情况

使用此数据源查看用户的 Cookie 是否被拒绝 访问。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择访问 评估日志事件
  3. 点击添加条件
  4. 对于属性 ,请选择事件然后 为运算符然后拒绝 Cookie 验证请求 作为事件。
  5. 点击搜索
  6. 在结果表中,点击拒绝事件状态列中或链接在 说明列中打开侧边栏,您可以在其中查看以下失败原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

日志事件按会话分组。为了管理日志量,每个唯一会话和失败类型每小时仅记录一个事件 。在这一小时内,任何其他 具有相同详细信息的尝试都不会被记录。

第 3 步:调查会话中断 是否由 DBSC 引起

用户可能会因各种原因退出登录,例如会话时长 限制、管理员定义的政策或网络问题。虽然退出登录 并不总是表明存在 DBSC 问题,但特定的日志序列有助于 识别潜在的 DBSC 相关活动或系统 阻止遭入侵会话的情况。

使用以下几点来帮助识别 DBSC 相关活动:

  • 查看日志序列:如果您发现DBSC 密钥 验证失败,然后是拒绝 Cookie 验证 请求,则 DBSC 可能是导致用户退出的原因。
  • 了解对用户的影响:为了确保 账号安全,如果绑定过程 遇到错误,用户需要重新登录。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。