ป้องกันการโจรกรรมคุกกี้ด้วยการเชื่อมโยงเซสชัน (เบต้า)

ในฐานะผู้ดูแลระบบ คุณสามารถเพิ่มความปลอดภัยให้เซสชันออนไลน์ของผู้ใช้ได้ด้วยการใช้ข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ (DBSC) ซึ่ง DBSC ออกแบบมาเพื่อป้องกันการลักลอบใช้เซสชัน หรือที่เรียกกันโดยทั่วไปว่า "การโจรกรรมคุกกี้"

ภัยคุกคามทางไซเบอร์ประเภทนี้เกิดขึ้นเมื่อบุคคลที่ไม่ได้รับอนุญาตควบคุมเซสชันเว็บที่ใช้งานอยู่ของผู้ใช้โดยการขโมยคุกกี้เซสชัน ซึ่งมักจะผ่านมัลแวร์ในอุปกรณ์ของผู้ใช้ คุกกี้เซสชันเป็นไฟล์ข้อมูลขนาดเล็กที่มีตัวระบุเซสชันที่ไม่ซ้ำกันซึ่งออกโดยเว็บไซต์ระหว่างการลงชื่อเข้าใช้ การนำเสนอคุกกี้ที่ถูกขโมยนี้ทำให้ผู้โจมตีสามารถแอบอ้างว่าเป็นผู้ใช้ตัวจริง และดำเนินเซสชันที่ผ่านการตรวจสอบสิทธิ์ต่อไปได้

DBSC ทำงานโดยการเชื่อมโยงเซสชันของผู้ใช้กับอุปกรณ์ที่เฉพาะเจาะจง ซึ่งทำให้ผู้โจมตีใช้คุกกี้ที่ขโมยมาในอุปกรณ์อื่นได้ยาก การใช้ DBSC จะช่วยลดความเสี่ยงของการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต และรักษาข้อมูลผู้ใช้ที่ละเอียดอ่อนให้ปลอดภัย

ข้อกำหนดสำหรับการใช้ DBSC

  • Chrome สำหรับ Windows: ปัจจุบัน DBSC พร้อมใช้งานในเบราว์เซอร์ Chrome สำหรับอุปกรณ์ Windows เท่านั้น
  • ความปลอดภัยของฮาร์ดแวร์ (TPM): อุปกรณ์ของผู้ใช้ต้องมี Trusted Platform Module (TPM) ซึ่งเป็นคอมโพเนนต์ฮาร์ดแวร์มาตรฐานที่มีให้ใช้งานในอุปกรณ์ส่วนใหญ่ที่ใช้ Windows 11 แล้ว ฮาร์ดแวร์นี้จะจัดเก็บคีย์วิทยาการเข้ารหัสที่ใช้ผูกเซสชันกับอุปกรณ์อย่างปลอดภัย โดยปกติแล้ว ผู้ใช้จะดูข้อมูลเกี่ยวกับความพร้อมใช้งานของ TPM ได้ในการตั้งค่าระบบของอุปกรณ์ หรือศึกษาในเอกสารประกอบของผู้ผลิตอุปกรณ์
  • Chrome เวอร์ชัน: ผู้ใช้ต้องมี Chrome เวอร์ชัน 136 ขึ้นไป ดูรายละเอียดที่หัวข้ออัปเดต Google Chrome
  • บัญชีหลัก: การป้องกัน DBSC และข้อมูลเหตุการณ์ในบันทึกจะใช้ได้ กับบัญชีหลักในโปรไฟล์เบราว์เซอร์ Chrome เท่านั้น

หมายเหตุ: การเชื่อมโยงเซสชันจะปกป้องคุกกี้ Google ส่วนใหญ่ แม้ว่าคุกกี้หรือ เซสชันบางรายการอาจยังคงไม่ได้รับการเชื่อมโยง

เปิดใช้ DBSC

ก่อนเริ่มต้น: หากจำเป็น โปรดดูวิธีใช้การตั้งค่ากับแผนกหรือกลุ่ม

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น การเข้าถึงและการควบคุมข้อมูล จากนั้น การควบคุมเซสชันของ Google

    ต้องมีสิทธิ์ของผู้ดูแลระบบในการตั้งค่าความปลอดภัย

  2. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับผู้ใช้บางรายเท่านั้น ให้เลือกหน่วยขององค์กร (มักใช้กับแผนกต่างๆ) หรือกลุ่ม การกำหนดค่า (ขั้นสูง) ที่ด้านข้าง

    การตั้งค่ากลุ่มจะลบล้างหน่วยขององค์กร ดูข้อมูลเพิ่มเติม

  3. ในส่วนข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ ให้เลือกเปิดใช้ DBSC
  4. คลิกบันทึก หรือคลิกลบล้างสำหรับหน่วยขององค์กร

    หากต้องการกู้คืนค่าที่รับช่วงมาในภายหลัง ให้คลิกรับค่า (หรือยกเลิกการตั้งค่า สำหรับกลุ่ม)

บังคับใช้ DBSC ด้วยการเข้าถึงแบบ Context-Aware

จำกัดไว้สำหรับเว็บแอปบนเดสก์ท็อป และไม่สามารถใช้กับแอปบนมือถือหรือ API ได้

คุณสามารถรักษาความปลอดภัยที่ดียิ่งขึ้นได้ด้วยการกําหนดให้ผู้ใช้ต้องมี DBSC เพื่อเข้าถึงแอป Google Workspace บางแอป เมื่อคุณบังคับใช้ DBSC ระบบจะแจ้งให้ผู้ใช้ลงชื่อเข้าใช้อีกครั้งหากตรวจพบความแตกต่างกับเซสชันที่ผูกไว้ก่อนหน้านี้ การตรวจสอบสิทธิ์อีกครั้งนี้จะช่วยให้ระบบพยายามเชื่อมโยงใหม่ที่ปลอดภัย ระบบจะบล็อกไม่ให้ผู้ใช้ในแพลตฟอร์มที่ไม่รองรับเข้าถึงแอปที่ได้รับการปกป้อง โดยคุณสามารถกำหนดค่ามาตรการรักษาความปลอดภัยนี้ผ่านการเข้าถึงแบบ Context-Aware

วิธีตั้งค่าการบังคับใช้ DBSC

  1. เปิด DBSC สำหรับผู้ใช้ที่คุณต้องการปกป้อง โปรดดูขั้นตอนในหัวข้อ เปิดใช้ DBSC
  2. ทำตามวิธีการเพื่อสร้างระดับการเข้าถึงที่กำหนดเองใน อนุญาตให้เข้าถึง แอปจากเซสชันที่เชื่อมโยงกับ DBSC เท่านั้น
  3. กำหนดระดับการเข้าถึงให้กับแอปที่คุณต้องการให้เข้าถึงได้เฉพาะเซสชันที่ผูกกับ DBSC ในโหมดตรวจสอบ เพื่อจำลองการบังคับใช้โดยไม่บล็อกการเข้าถึงของผู้ใช้
  4. หลังจากประเมินผลกระทบแล้ว ให้กำหนดระดับการเข้าถึงในโหมดแอ็กทีฟ เพื่อบังคับใช้การเข้าถึงเฉพาะเซสชันที่ผูกกับ DBSC โปรดดูรายละเอียดที่หัวข้อติดตั้งใช้งาน การเข้าถึงแบบ Context-Aware

การบังคับใช้ DBSC จะไม่ได้มีผลในทันที ซึ่งหมายความว่าหลังจากที่ผู้ใช้ลงชื่อเข้าใช้แล้ว จะมีระยะเวลาผ่อนผันก่อนที่จะมีการบังคับใช้ ซึ่งการออกแบบนี้จะช่วยรับมือกับปัญหาการเชื่อมโยงชั่วคราวที่อาจเกิดขึ้น เมื่อเชื่อมโยงแล้ว ระบบจะตรวจสอบเป็นระยะๆ ว่าผู้ใช้ที่เข้าถึงแอปที่ระบุมีเซสชันที่ผูกกับ DBSC หรือไม่ การตรวจสอบสิทธิ์อีกครั้งจะรีเซ็ตระยะเวลาผ่อนผันนี้ และระบบจะไม่บังคับใช้ DBSC ในระหว่างการตรวจสอบสิทธิ์อีกครั้งนั้นๆ

ตรวจสอบการป้องกัน DBSC และปัญหาเกี่ยวกับเซสชัน

คุณสามารถใช้เครื่องมือตรวจสอบความปลอดภัยเพื่อตรวจสอบการป้องกัน DBSC และแก้ปัญหาการหยุดชะงักของเซสชันได้ โดยมีแหล่งที่มาของบันทึกกิจกรรม DBSC 2 แหล่งดังนี้

  • เหตุการณ์ในบันทึกของผู้ใช้—ตรวจสอบการเชื่อมโยงโทเค็นการเข้าถึงกับอุปกรณ์ของผู้ใช้
  • เหตุการณ์ในบันทึกการประเมินการเข้าถึง—ตรวจสอบสถานะของคุกกี้ที่เฉพาะเจาะจง

ขั้นตอนที่ 1: ค้นหากิจกรรม DBSC ในเหตุการณ์ในบันทึกของผู้ใช้

ใช้แหล่งข้อมูลนี้เพื่อดูว่า DBSC เชื่อมโยงคีย์กับอุปกรณ์ของผู้ใช้ และตรวจสอบเซสชันได้สำเร็จหรือไม่

วิธีตรวจสอบว่า DBSC เชื่อมโยงคีย์หรือไม่

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. เลือกเหตุการณ์ในบันทึกของผู้ใช้ สำหรับแหล่งข้อมูล
  3. คลิกเพิ่มเงื่อนไข
  4. สำหรับแอตทริบิวต์ ให้เลือกเหตุการณ์จากนั้นIs เป็นโอเปอเรเตอร์จากนั้นการเชื่อมโยงคีย์ DBSC เป็นเหตุการณ์
  5. คลิกค้นหา
  6. ในตารางผลลัพธ์ ให้ตรวจสอบคอลัมน์สถานะเหตุการณ์ โดยมีสถานะดังนี้
    • สำเร็จ—การป้องกัน DBSC เปิดอยู่สำหรับ ผู้ใช้ และเซสชันได้รับการปกป้อง
    • ไม่สำเร็จ—การเชื่อมโยง DBSC ไม่สำเร็จ และการป้องกัน ไม่ได้เปิดอยู่สำหรับผู้ใช้
    • ไม่มีผลลัพธ์ \- ไม่ได้พยายามป้องกัน DBSC สำหรับเซสชันของผู้ใช้รายนี้

วิธีตรวจสอบว่า DBSC ตรวจสอบเซสชันหรือไม่

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. คลิกเพิ่มเงื่อนไข
  3. สำหรับแอตทริบิวต์ ให้เลือกเหตุการณ์จากนั้นIs เป็นโอเปอเรเตอร์จากนั้นการตรวจสอบคีย์ DBSC เป็นเหตุการณ์
  4. คลิกค้นหา
  5. ในตารางผลลัพธ์ ให้ตรวจสอบคอลัมน์สถานะเหตุการณ์ โดยมีสถานะดังนี้
    • สำเร็จ—ตรวจสอบคุกกี้เรียบร้อยแล้ว
    • ไม่สำเร็จ—การตรวจสอบ DBSC ไม่สำเร็จ คลิกที่สถานะ เพื่อดูข้อมูลเพิ่มเติม เช่น รหัสข้อผิดพลาด

การตรวจสอบไม่สำเร็จ 1 ครั้งไม่ได้หมายความว่าผู้ใช้จะพบการหยุดชะงักของเซสชัน ผู้ใช้อาจพบการหยุดชะงักหากการตรวจสอบ ไม่สำเร็จหลายครั้งเกิดขึ้นติดต่อกัน

ขั้นตอนที่ 2: ตรวจสอบการปฏิเสธการเข้าถึงในเหตุการณ์ในบันทึกการประเมินการเข้าถึง

ใช้แหล่งข้อมูลนี้เพื่อดูว่าระบบปฏิเสธการเข้าถึงคุกกี้ของผู้ใช้หรือไม่

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. เลือกเหตุการณ์ในบันทึกการประเมินการเข้าถึง สำหรับแหล่งข้อมูล
  3. คลิกเพิ่มเงื่อนไข
  4. สำหรับแอตทริบิวต์ ให้เลือกเหตุการณ์จากนั้นIs เป็นโอเปอเรเตอร์จากนั้นปฏิเสธคำขอตรวจสอบคุกกี้ เป็นเหตุการณ์
  5. คลิกค้นหา
  6. ในตารางผลลัพธ์ ให้คลิกปฏิเสธ ใน คอลัมน์สถานะเหตุการณ์ หรือคลิกลิงก์ใน คอลัมน์คำอธิบาย เพื่อเปิดแผงด้านข้างที่คุณ สามารถตรวจสอบเหตุผลที่ทำให้เกิดข้อผิดพลาดต่อไปนี้:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

ระบบจะจัดกลุ่มเหตุการณ์ในบันทึกตามเซสชัน โดยจะบันทึกเหตุการณ์เพียงรายการเดียวต่อผู้ใช้ ทุกชั่วโมง แม้ว่าจะมีการบล็อกการพยายามเข้าถึงหลายครั้งในช่วงเวลาดังกล่าว

ขั้นตอนที่ 3: ตรวจสอบว่า DBSC เป็นสาเหตุที่ทำให้เกิดการหยุดชะงักของเซสชันหรือไม่

ผู้ใช้อาจออกจากระบบด้วยเหตุผลต่างๆ เช่น ข้อจำกัดความยาวเซสชัน นโยบายที่ผู้ดูแลระบบกำหนด หรือปัญหาเกี่ยวกับเครือข่าย แม้ว่าการออกจากระบบ จะไม่ได้บ่งชี้ถึงปัญหา DBSC เสมอไป แต่ลำดับบันทึกที่เฉพาะเจาะจงจะช่วย ระบุกิจกรรมที่อาจเกี่ยวข้องกับ DBSC หรือกรณีที่ระบบ บล็อกเซสชันที่ถูกละเมิดได้

ใช้ประเด็นต่อไปนี้เพื่อช่วยระบุกิจกรรมที่เกี่ยวข้องกับ DBSC

  • ตรวจสอบลำดับบันทึก—หากพบว่าการตรวจสอบคีย์ DBSC ไม่สำเร็จตามด้วยการปฏิเสธคำขอตรวจสอบคุกกี้ แสดงว่า DBSC อาจเป็นสาเหตุที่ทำให้ผู้ใช้ออกจากระบบ
  • ทำความเข้าใจผลกระทบต่อผู้ใช้—ผู้ใช้ต้องลงชื่อเข้าใช้อีกครั้งหากกระบวนการเชื่อมโยงพบข้อผิดพลาด เพื่อให้บัญชี ปลอดภัย
  • ยกเว้นผู้ใช้จากการใช้งาน DBSC—หากผู้ใช้ออกจากระบบอย่างต่อเนื่อง คุณสามารถสร้างกลุ่มการกำหนดค่าที่ยกเว้นการใช้งาน DBSC และเพิ่มผู้ใช้ลงในกลุ่มนั้นเพื่อประเมินว่า DBSC เป็นสาเหตุที่ทำให้เกิดการออกจากระบบหรือไม่


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง