Ngăn chặn hành vi đánh cắp cookie bằng tính năng liên kết phiên (bản thử nghiệm)

Là quản trị viên, bạn có thể tăng cường tính bảo mật cho các phiên trực tuyến của người dùng bằng cách triển khai tính năng Thông tin xác thực phiên được liên kết với thiết bị (DBSC). DBSC được thiết kế để ngăn chặn hành vi chiếm đoạt phiên, còn được gọi là hành vi đánh cắp cookie.

Loại tấn công mạng này xảy ra khi một bên không được uỷ quyền giành quyền kiểm soát phiên web đang hoạt động của người dùng bằng cách đánh cắp cookie của phiên – thường là thông qua phần mềm độc hại trên thiết bị của người dùng. Cookie của phiên là một tệp dữ liệu nhỏ chứa giá trị nhận dạng phiên duy nhất do trang web cấp trong quá trình đăng nhập. Bằng cách xuất trình cookie bị đánh cắp này, kẻ tấn công có thể mạo danh người dùng hợp pháp và tiếp tục phiên đã xác thực của họ.

DBSC hoạt động bằng cách liên kết phiên của người dùng với thiết bị cụ thể của họ, khiến kẻ tấn công khó sử dụng cookie bị đánh cắp trên các thiết bị khác. Bằng cách sử dụng DBSC, bạn có thể giảm nguy cơ truy cập trái phép vào tài khoản người dùng, giúp bảo vệ dữ liệu nhạy cảm của người dùng.

Yêu cầu để sử dụng DBSC

  • Chrome dành cho Windows: Hiện tại, DBSC chỉ có trên trình duyệt Chrome dành cho thiết bị Windows.
  • Bảo mật phần cứng (TPM): Thiết bị của người dùng phải có Mô-đun nền tảng đáng tin cậy (TPM). Đây là một thành phần phần cứng tiêu chuẩn đã có sẵn cho hầu hết các thiết bị chạy Windows 11. Phần cứng này lưu trữ an toàn các khoá mật mã được dùng để liên kết phiên với thiết bị. Người dùng thường có thể tìm thấy thông tin về tính năng TPM trong phần cài đặt hệ thống của thiết bị hoặc bằng cách tham khảo tài liệu của nhà sản xuất thiết bị.
  • Phiên bản Chrome: Người dùng phải có Chrome phiên bản 136 trở lên. Để biết thông tin chi tiết, hãy tham khảo bài viết Cập nhật Google Chrome.
  • Tài khoản chính: Dữ liệu về tính năng bảo vệ DBSC và dữ liệu sự kiện trong nhật ký chỉ có sẵn cho tài khoản chính trong hồ sơ trình duyệt Chrome.

Lưu ý: Tính năng liên kết phiên bảo vệ hầu hết các cookie của Google, mặc dù một số cookie hoặc phiên có thể vẫn không được liên kết.

Bật DBSC

Trước khi bắt đầu: Nếu cần, hãy tìm hiểu cách áp dụng chế độ cài đặt này cho một bộ phận hoặc nhóm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và kiểm soát dữ liệu sau đó Kiểm soát phiên truy cập vào Google.

    Bạn phải có đặc quyền Cài đặt bảo mật của quản trị viên.

  2. (Không bắt buộc) Để chỉ áp dụng chế độ cài đặt này cho một số người dùng, trên trình đơn bên, hãy chọn một đơn vị tổ chức (thường dùng cho các bộ phận) hoặc nhóm cấu hình (cách nâng cao).

    Các chế độ cài đặt nhóm sẽ thay thế đơn vị tổ chức. Tìm hiểu thêm

  3. Đối với Thông tin xác thực phiên được liên kết với thiết bị, hãy chọn Bật DBSC.
  4. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa (hoặc Không đặt đối với nhóm).

Thực thi DBSC bằng tính năng Quyền truy cập dựa trên bối cảnh

Chỉ áp dụng cho các ứng dụng web trên máy tính và không áp dụng cho các ứng dụng di động hoặc API

Bạn có thể tăng cường tính bảo mật bằng cách yêu cầu người dùng phải có DBSC để truy cập vào các ứng dụng cụ thể của Google Workspace. Khi bạn thực thi DBSC, người dùng sẽ được nhắc đăng nhập lại nếu hệ thống phát hiện thấy sự khác biệt với một phiên đã liên kết trước đó. Quá trình xác thực lại này cho phép hệ thống thử liên kết mới và an toàn. Người dùng trên các nền tảng không được hỗ trợ sẽ bị chặn truy cập vào ứng dụng được bảo vệ. Biện pháp bảo mật này được định cấu hình thông qua tính năng quyền truy cập dựa trên bối cảnh.

Cách thiết lập chế độ thực thi DBSC:

  1. Bật DBSC cho những người dùng mà bạn muốn bảo vệ. Để xem các bước, hãy tham khảo bài viết Bật DBSC.
  2. Làm theo hướng dẫn để tạo cấp truy cập tuỳ chỉnh trong phần Chỉ cho phép truy cập vào ứng dụng từ các phiên được liên kết với DBSC.
  3. Chỉ định cấp truy cập cho các ứng dụng mà bạn chỉ muốn các phiên được liên kết với DBSC truy cập ở chế độ giám sát để mô phỏng việc thực thi mà không chặn quyền truy cập của người dùng.
  4. Sau khi đánh giá tác động, hãy chỉ định các cấp truy cập ở chế độ đang hoạt động để chỉ thực thi quyền truy cập bằng các phiên được liên kết với DBSC. Để biết thông tin chi tiết, hãy tham khảo bài viết Triển khai tính năng Quyền truy cập dựa trên bối cảnh.

Việc thực thi DBSC không diễn ra ngay lập tức. Điều này có nghĩa là sau khi người dùng đăng nhập, sẽ có một khoảng thời gian gia hạn trước khi chế độ thực thi được áp dụng. Thiết kế này phù hợp với các vấn đề tiềm ẩn về việc liên kết tạm thời. Sau khi liên kết, hệ thống sẽ định kỳ kiểm tra xem người dùng truy cập vào các ứng dụng được chỉ định có phiên được liên kết với DBSC hay không. Mọi quá trình xác thực lại sẽ đặt lại khoảng thời gian gia hạn này và DBSC sẽ không được thực thi trong quá trình xác thực lại đó.

Điều tra các vấn đề về tính năng bảo vệ DBSC và phiên

Bạn có thể sử dụng công cụ điều tra bảo mật để giám sát tính năng bảo vệ DBSC và khắc phục sự cố gián đoạn phiên. Có 2 nguồn nhật ký cho hoạt động DBSC:

  • Sự kiện trong nhật ký người dùng – Theo dõi việc liên kết mã thông báo truy cập với thiết bị của người dùng.
  • Sự kiện trong nhật ký Đánh giá quyền truy cập – Xem xét trạng thái của các cookie cụ thể.

Bước 1: Tìm kiếm hoạt động DBSC trong Sự kiện trong nhật ký người dùng

Sử dụng nguồn dữ liệu này để xem DBSC có liên kết khoá với thiết bị của người dùng và xác thực phiên thành công hay không.

Cách kiểm tra xem DBSC có liên kết khoá hay không:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Đối với Nguồn dữ liệu, hãy chọn Nhật ký người dùng sự kiện.
  3. Nhấp vào Thêm điều kiện.
  4. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóLiên kết khoá DBSC làm sự kiện.
  5. Nhấp vào phần Tìm kiếm.
  6. Trong bảng kết quả, hãy xem cột Trạng thái sự kiện :
    • Thành công—Tính năng bảo vệ DBSC được bật cho người dùng và phiên được bảo vệ.
    • Không thành công—Không liên kết được DBSC và tính năng bảo vệ không được bật cho người dùng.
    • Không có kết quả – Tính năng bảo vệ DBSC không được thử cho phiên của người dùng này.

Cách kiểm tra xem DBSC có xác thực phiên hay không:

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Thêm điều kiện.
  3. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóXác thực khoá DBSC làm sự kiện.
  4. Nhấp vào phần Tìm kiếm.
  5. Trong bảng kết quả, hãy xem cột Trạng thái sự kiện :
    • Thành công—Cookie đã được xác thực thành công.
    • Không thành công—Không xác thực được DBSC. Nhấp vào trạng thái để biết thêm thông tin, chẳng hạn như mã lỗi.

Một lần không thành công không nhất thiết có nghĩa là người dùng đang gặp phải tình trạng gián đoạn phiên. Người dùng có thể bị gián đoạn nếu nhiều lần xác thực không thành công liên tiếp.

Bước 2: Kiểm tra xem có trường hợp bị từ chối quyền truy cập trong Sự kiện trong nhật ký Đánh giá quyền truy cập hay không

Sử dụng nguồn dữ liệu này để xem cookie của người dùng có bị từ chối quyền truy cập hay không.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Đối với Nguồn dữ liệu, hãy chọn Sự kiện trong nhật ký Đánh giá.
  3. Nhấp vào Thêm điều kiện.
  4. Đối với Thuộc tính, hãy chọn Sự kiệnsau đó làm toán tửsau đóTừ chối yêu cầu xác thực cookie làm sự kiện.
  5. Nhấp vào phần Tìm kiếm.
  6. Trong bảng kết quả, hãy nhấp vào Bị từ chối trong cột Trạng thái sự kiện hoặc đường liên kết trong cột Mô tả để mở một bảng điều khiển bên. Tại đây, bạn có thể xem xét các lý do không thành công sau:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Các sự kiện trong nhật ký được nhóm theo phiên. Hệ thống chỉ ghi lại một sự kiện cho mỗi người dùng mỗi giờ, ngay cả khi nhiều lần thử truy cập bị chặn trong khoảng thời gian đó.

Bước 3: Điều tra xem DBSC có gây ra tình trạng gián đoạn phiên hay không

Người dùng có thể bị đăng xuất vì nhiều lý do, chẳng hạn như giới hạn thời lượng phiên , chính sách do quản trị viên xác định hoặc sự cố mạng. Mặc dù việc đăng xuất không phải lúc nào cũng cho thấy vấn đề về DBSC, nhưng các chuỗi nhật ký cụ thể có thể giúp xác định hoạt động tiềm ẩn liên quan đến DBSC hoặc các trường hợp hệ thống chặn một phiên bị xâm phạm.

Sử dụng các điểm sau để giúp xác định hoạt động liên quan đến DBSC:

  • Xem xét các chuỗi nhật ký—Nếu bạn thấy các lỗi Xác thực khoá DBSC , sau đó là Từ chối yêu cầu xác thực cookie , thì DBSC có thể là nguyên nhân khiến người dùng đăng xuất.
  • Tìm hiểu tác động đối với người dùng – Để giữ an toàn cho tài khoản, người dùng cần đăng nhập lại nếu quá trình liên kết gặp lỗi.
  • Miễn trừ DBSC cho người dùng – Nếu một người dùng liên tục bị đăng xuất, bạn có thể tạo một nhóm cấu hình được miễn trừ DBSC và thêm người dùng đó vào nhóm để đánh giá xem DBSC có gây ra tình trạng đăng xuất hay không.


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.