Google Workspace migliora automaticamente la sicurezza delle sessioni online dei tuoi utenti utilizzando le credenziali di sessione associate al dispositivo (DBSC). DBSC è progettato per impedire il furto di sessione, noto anche come furto di cookie.
Questo tipo di attacco informatico si verifica quando una terza parte non autorizzata prende il controllo della sessione web attiva di un utente rubando il cookie della sessione, spesso tramite malware sul dispositivo dell'utente. Un cookie di sessione è un piccolo file di dati contenente l'identificatore univoco della sessione emesso dal sito web durante l'accesso. Presentando questo cookie rubato, il malintenzionato può rubare l'identità dell'utente legittimo e continuare la sessione autenticata.
DBSC funziona associando la sessione di un utente al suo dispositivo specifico, rendendo difficile per gli utenti malintenzionati utilizzare i cookie rubati su altri dispositivi. In questo modo si crea un limite di sicurezza basato sull'hardware che riduce il rischio di accesso non autorizzato agli account utente e protegge i dati sensibili. DBSC è attivo per impostazione predefinita per tutti gli account Workspace. Non è necessaria alcuna azione dell'amministratore per attivare questa protezione.
Requisiti per l'utilizzo di DBSC
- Browser Chrome: versione 146 o successive per Windows. Per maggiori dettagli, vai a Aggiornare Google Chrome.
- Sicurezza hardware:richiede funzionalità di sicurezza basate sull'hardware per archiviare in modo sicuro le chiavi crittografiche utilizzate per associare la sessione al dispositivo. Per Windows, si tratta di un TPM (Trusted Platform Module), standard sulla maggior parte dei dispositivi con Windows 11. Consulta la documentazione del produttore del dispositivo per verificare le funzionalità hardware.
Come viene applicata la protezione DBSC
La protezione DBSC viene applicata automaticamente quando il dispositivo e il browser di un utente soddisfano i requisiti tecnici necessari. In alcuni casi, le sessioni potrebbero rimanere non associate. Tra le cause più comuni:
- Ambiente non supportato: problemi con il sistema operativo, la versione del browser o la sicurezza hardware dell'utente (ad esempio un TPM su Windows).
- Sessioni esistenti: la protezione DBSC si applica solo alle nuove sessioni. Gli utenti che avevano già eseguito l'accesso quando DBSC è stato attivato devono disconnettersi e accedere di nuovo per associare la sessione.
- Modifiche del browser: alcune estensioni del browser o modifiche manuali ai cookie possono impedire il corretto funzionamento di DBSC.
Applicare le credenziali di sessione associate al dispositivo con l'accesso sensibile al contesto
Limitato alle app web desktop e non applicabile ad API o app mobile
Puoi migliorare ulteriormente la sicurezza richiedendo agli utenti di disporre del controllo delle autorizzazioni a livello di dispositivo per accedere ad app Google Workspace specifiche. Quando applichi le credenziali di sessione associate al dispositivo, agli utenti viene chiesto di accedere di nuovo se il sistema rileva una differenza con una sessione associata precedentemente stabilita. Questa riautenticazione consente al sistema di tentare una nuova associazione sicura. Agli utenti su piattaforme non supportate viene impedito l'accesso all'app protetta. Questa misura di sicurezza viene configurata tramite l'accesso sensibile al contesto.
Per configurare l'applicazione del criterio DBSC:
- Segui le istruzioni per creare un livello di accesso personalizzato in Consenti l'accesso alle app solo da sessioni legate a DBSC .
- Assegna il livello di accesso alle app a cui vuoi che venga eseguito l'accesso solo da sessioni vincolate a DBSC in modalità di monitoraggio per simulare l'applicazione forzata senza bloccare l'accesso degli utenti.
- Dopo aver valutato l'impatto, assegna i livelli di accesso in modalità attiva per applicare l'accesso solo per le sessioni legate a DBSC. Per maggiori dettagli, vai a Esegui il deployment dell'accesso sensibile al contesto.
L'applicazione forzata di DBSC non è immediata, il che significa che dopo l'accesso di un utente è previsto un periodo di tolleranza prima dell'applicazione. Questa progettazione tiene conto di potenziali problemi di associazione temporanei. Una volta associato, il sistema controlla periodicamente se gli utenti che accedono alle app specificate hanno sessioni associate a DBSC. Qualsiasi autenticazione di nuovo reimposta questo periodo di tolleranza e DBSC non verrà applicato durante l'autenticazione di nuovo.
Indagare sulla protezione DBSC e sui problemi di sessione
Puoi utilizzare lo strumento di indagine sulla sicurezza per monitorare la protezione DBSC e risolvere i problemi relativi alle interruzioni della sessione. Esistono due origini log per l'attività DBSC:
- Eventi dei log utente : monitora l'associazione dei token di accesso ai dispositivi degli utenti.
- Eventi dei log di valutazione dell'accesso : esamina lo stato di cookie specifici.
Nota:gli eventi dei log DBSC sono visibili solo per l'account principale quando più account utente hanno eseguito l'accesso allo stesso profilo del browser Chrome.
Passaggio 1: cerca l'attività DBSC negli eventi dei log utente eventi
Utilizza questa origine dati per verificare se DBSC associa correttamente le chiavi ai dispositivi degli utenti e convalida le sessioni.
Per verificare se DBSC associa le chiavi:
-
Nella Console di amministrazione Google, vai a Menu
Sicurezza
Centro sicurezza
Strumento di indagine.
È necessario disporre del privilegio di amministratore Centro sicurezza.
- Per Origine dati, seleziona Eventi dei log utente.
- Fai clic su Aggiungi condizione.
- Per Attributo, seleziona Evento
È come operatore
Associazione chiave DBSC come evento.
- Fai clic su Cerca.
- Nella tabella dei risultati, esamina la colonna Stato evento :
- Operazione riuscita : la protezione DBSC è attivata per l' utente e la sessione è protetta.
- Operazione non riuscita : l'associazione DBSC non è riuscita e la protezione non è attivata per l'utente.
- Nessun risultato: la protezione DBSC non è stata tentata per questa sessione utente.
Per verificare se DBSC convalida le sessioni:
-
Nella Console di amministrazione Google, vai a Menu
Sicurezza
Centro sicurezza
Strumento di indagine.
È necessario disporre del privilegio di amministratore Centro sicurezza.
- Fai clic su Aggiungi condizione.
- Per Attributo, seleziona Evento
È come operatore
Convalida chiave DBSC come evento.
- Fai clic su Cerca.
- Nella tabella dei risultati, esamina la colonna Stato evento :
- Operazione riuscita : il cookie è stato convalidato correttamente.
- Operazione non riuscita : la convalida DBSC non è riuscita. Fai clic sullo stato per ottenere ulteriori informazioni, ad esempio un codice di errore.
Un errore non significa necessariamente che l'utente stia riscontrando interruzioni della sessione. Gli utenti potrebbero subire interruzioni se si verificano più errori di convalida consecutivi.
Passaggio 2: verifica la presenza di negazioni dell'accesso negli eventi dei log di valutazione dell'accesso
Utilizza questa origine dati per verificare se l'accesso al cookie di un utente è stato negato accesso.
-
Nella Console di amministrazione Google, vai a Menu
Sicurezza
Centro sicurezza
Strumento di indagine.
È necessario disporre del privilegio di amministratore Centro sicurezza.
- Per Origine dati, seleziona Eventi dei log di valutazione dell'accesso.
- Fai clic su Aggiungi condizione.
- Per Attributo, seleziona Evento
È come operatore
Nega richiesta di convalida cookie come evento.
- Fai clic su Cerca.
- Nella tabella dei risultati, fai clic su Accesso negato in
the Stato evento column or the link in
the Descrizione column to open a side panel where you
can review the following failure reasons:
- DBSC_BOUND_COOKIE_MISSING
- DBSC_BOUND_COOKIE_CORRUPTED
- DBSC_BOUND_COOKIE_EXPIRED
Gli eventi dei log sono raggruppati per sessione. Per gestire il volume dei log, viene registrato un solo evento all'ora per ogni sessione e tipo di errore univoci. Durante l'ora non vengono registrati altri tentativi con gli stessi dettagli.
Passaggio 3: verifica se le interruzioni della sessione sono causate da DBSC
Gli utenti possono essere disconnessi per vari motivi, ad esempio limiti di durata della sessione norme definite dall'amministratore o problemi di rete. Sebbene una disconnessione non indichi sempre un problema di DBSC, sequenze di log specifiche possono aiutare a identificare potenziali attività correlate a DBSC o istanze in cui il sistema ha bloccato una sessione compromessa.
Utilizza questi punti per identificare l'attività correlata a DBSC:
- Esamina le sequenze di log: se trovi errori di convalida chiave DBSC seguiti da una richiesta di convalida cookie negata , DBSC potrebbe essere la causa della disconnessione dell'utente.
- Comprendi l'impatto sull'utente: per proteggere l' account, un utente deve accedere di nuovo se la procedura di associazione rileva un errore.
Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.