通过会话绑定功能防止 Cookie 被盗(Beta 版)

作为管理员,您可以通过实现设备绑定会话凭证 (DBSC) 来增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。

此类网络攻击发生在未经授权的第三方通过盗取会话 Cookie(通常是通过用户设备上的恶意软件)来控制用户的活动网络会话时。会话 Cookie 是一个小型数据文件,其中包含网站在登录期间发出的唯一会话标识符。攻击者可以通过出示被盗的 Cookie 来冒充合法用户,并继续其已通过身份验证的会话。

DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗的 Cookie。通过使用 DBSC,您可以降低用户账号被未经授权访问的风险,确保敏感用户数据的安全。

使用 DBSC 的要求

  • Chrome for Windows:目前,DBSC 仅适用于 Windows 设备上的 Chrome 浏览器 。
  • 硬件安全(TPM):用户的设备必须配备可信平台 模块 (TPM),这是一种用于安全存储和处理加密数据的标准硬件组件,大多数运行 Windows 11 的设备已内置 该模块。此硬件安全地存储用于将会话绑定到设备的加密密钥。用户通常可以在设备的系统设置中找到有关 TPM 可用性的信息,也可以查阅设备制造商的文档。
  • Chrome 版本:用户必须使用 Chrome 136 或更高版本。如需了解 详情,请 参阅更新 Google Chrome
  • 主账户:DBSC 保护和日志事件数据仅适用于 Chrome 浏览器个人资料中的主账户。

注意:会话绑定可保护大多数 Google Cookie,但某些 Cookie 或 会话可能仍未绑定。

启用 DBSC

准备工作:如果需要,请了解如何将设置应用于部门或群组

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 Google 会话控制

    需要拥有“安全设置”管理员权限。

  2. (可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门 (对于部门来说这是常用选项)或配置群组 (高级)。

    群组设置会覆盖组织部门的设置。了解详情

  3. 对于设备绑定会话凭证,选择启用 DBSC
  4. 点击保存 。您也可以针对组织部门点击覆盖

    如要稍后恢复继承的值,请点击继承 (如果是群组,请点击取消设置 )。

使用情境感知访问权限强制执行 DBSC

仅限桌面版 Web 应用,不适用于移动应用或 API

您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。当您强制执行 DBSC 时,如果系统检测到与之前建立的绑定会话存在差异,系统会提示用户重新登录。通过重新进行身份验证,系统可以尝试建立新的安全绑定。如果用户使用的平台不受支持,则无法访问受保护的应用。此安全措施通过情境感知访问权限进行配置。

如需设置 DBSC 强制执行,请执行以下操作:

  1. 为您要保护的用户启用 DBSC。如需了解具体步骤,请参阅 启用 DBSC
  2. 按照仅允许通过 DBSC 绑定的会话 访问应用 中的说明创建自定义访问权限级别
  3. 监控模式 下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
  4. 评估影响后,请在活动模式 下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署 情境感知访问权限

DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计旨在应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否具有 DBSC 绑定会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。

调查 DBSC 保护和会话问题

您可以使用安全调查工具监控 DBSC 保护并排查会话中断问题。DBSC 活动有 2 个日志来源:

  • 用户日志事件:监控访问令牌与用户设备的绑定。
  • 访问评估日志事件:查看特定 Cookie 的状态。

第 1 步:在用户日志 事件中搜索 DBSC 活动

使用此数据源查看 DBSC 是否成功将密钥绑定到用户 设备并验证会话。

如需检查 DBSC 是否正在绑定密钥,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择用户日志 事件
  3. 点击添加条件
  4. 对于属性 ,请选择事件然后运算符然后DBSC 密钥绑定为事件。
  5. 点击搜索
  6. 在结果表中,查看事件状态 列:
    • 成功:已为 用户启用 DBSC 保护,并且会话受到保护。
    • 失败:DBSC 绑定失败,并且未为用户启用保护。
    • 无结果:未尝试为此用户会话启用 DBSC 保护。

如需检查 DBSC 是否正在验证会话,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击添加条件
  3. 对于属性 ,请选择事件然后运算符然后DBSC 密钥验证为事件。
  4. 点击搜索
  5. 在结果表中,查看事件状态 列:
    • 成功:Cookie 已成功通过验证。
    • 失败:DBSC 验证失败。点击相应状态 可获取更多信息,例如错误代码。

一次失败并不一定意味着用户遇到了会话 中断问题。如果连续多次验证 失败,用户可能会遇到中断问题。

第 2 步:在访问 评估日志事件中检查访问被拒情况

使用此数据源查看用户的 Cookie 是否被拒绝 访问。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择访问 评估日志事件
  3. 点击添加条件
  4. 对于属性 ,请选择事件然后运算符然后事件拒绝 Cookie 验证请求
  5. 点击搜索
  6. 在结果表中,点击已拒绝事件状态 列中或说明 列中的链接,打开侧边栏,您可以在其中查看以下失败原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

日志事件按会话分组。即使在此期间多次访问尝试被阻止,每位用户每小时也只会记录一个事件 。

第 3 步:调查会话中断 是否由 DBSC 引起

用户可能会因各种原因被登出,例如会话时长 限制、管理员定义的政策或网络问题。虽然登出 并不总是表示存在 DBSC 问题,但特定的日志序列可以帮助 识别潜在的 DBSC 相关活动或系统 阻止受损会话的情况。

使用以下几点来帮助识别 DBSC 相关活动:

  • 查看日志序列:如果您发现DBSC 密钥 验证失败,然后是拒绝 Cookie 验证 请求,则 DBSC 可能是导致用户登出的原因。
  • 了解对用户的影响:为了确保 账号安全,如果绑定过程 遇到错误,用户需要重新登录。
  • 将用户从 DBSC 中排除:如果用户持续被登出,您可以创建一个不受 DBSC 约束的配置群组,并将用户添加到该群组,以评估 DBSC 是否导致了登出。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。