通过会话绑定功能防止 Cookie 被盗(Beta 版)

作为管理员,您可以通过实现设备绑定会话凭证 (DBSC) 来增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。

此类网络攻击发生在未经授权的第三方通过盗取会话 Cookie(通常是通过用户设备上的恶意软件)来控制用户的活动网络会话时。会话 Cookie 是一个小型数据文件,其中包含网站在登录期间发出的唯一会话标识符。通过利用此被盗 Cookie,攻击者可冒充合法用户并继续其已验证的会话。

DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗 Cookie。使用 DBSC 可降低用户账号遭受未经授权访问的风险,从而保护敏感用户数据。

使用 DBSC 的要求

  • Windows 版 Chrome:目前,DBSC 仅支持在 Windows 设备上通过 Chrome 浏览器使用。
  • 硬件安全 (TPM):用户的设备必须配备可信平台模块 (TPM),这是一种用于安全存储和处理加密数据的标准硬件组件,大多数运行 Windows 11 的设备已内置该模块。此硬件可安全地存储用于将会话绑定到设备的加密密钥。用户通常可以在设备的系统设置中,或通过查阅设备制造商文档,找到有关 TPM 可用性的信息。
  • Chrome 版本:用户必须使用 Chrome 136 或更高版本。如需了解详情,请参阅更新 Google Chrome
  • 主账户:DBSC 保护和日志事件数据仅适用于 Chrome 浏览器个人资料中的主账户。

注意:会话绑定可保护大多数 Google Cookie,但某些 Cookie 或会话可能仍处于未绑定状态。

开启 DBSC

准备工作:如果需要,请了解如何将设置应用于部门或群组

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 Google 会话控制

    需要拥有“安全设置”管理员权限。

  2. (可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。

    群组设置会覆盖组织部门的设置。了解详情

  3. 对于设备绑定会话凭证,选择启用 DBSC
  4. 点击保存。您也可以针对组织部门点击覆盖

    如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。

使用情境感知访问权限强制执行 DBSC

仅限桌面版 Web 应用,不适用于移动应用或 API

您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。强制执行 DBSC 后,如果系统检测到与之前建立的绑定会话存在差异,系统会提示用户重新登录。重新进行身份验证后,系统可以尝试建立新的安全绑定。系统会阻止使用不受支持的平台的用户访问受保护的应用。此安全措施通过情境感知访问权限进行配置。

如需设置 DBSC 强制执行,请执行以下操作:

  1. 为您要保护的用户启用 DBSC。如需了解相关步骤,请参阅启用 DBSC
  2. 按照仅允许通过 DBSC 绑定的会话访问应用中的说明创建自定义访问权限级别。
  3. 监控模式下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
  4. 评估影响后,请在活动模式下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署情境感知访问权限

DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计可应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否拥有 DBSC 绑定的会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。

调查 DBSC 保护和会话问题

您可以使用安全调查工具监控 DBSC 保护并排查会话中断问题。DBSC 活动有 2 个日志来源:

  • 用户日志事件 - 监控访问令牌与用户设备的绑定情况。
  • 访问评估日志事件 - 查看特定 Cookie 的状态。

第 1 步:在用户日志事件中搜索 DBSC 活动

使用此数据源可查看 DBSC 是否成功将密钥绑定到用户设备并验证会话。

如需检查 DBSC 是否正在绑定密钥,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择用户日志事件
  3. 点击添加条件
  4. 对于属性,请选择事件然后作为运算符然后DBSC 密钥绑定作为事件。
  5. 点击搜索
  6. 在结果表格中,查看活动状态列:
    • 成功 - 已为用户启用 DBSC 保护,并且会话受到保护。
    • 失败 - DBSC 绑定失败,并且未为用户启用保护。
    • 无结果 - 未尝试为此用户会话提供 DBSC 保护。

如需检查 DBSC 是否正在验证会话,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击添加条件
  3. 对于属性,请选择事件然后作为运算符然后DBSC 密钥验证作为事件。
  4. 点击搜索
  5. 在结果表格中,查看活动状态列:
    • 成功 - Cookie 已成功通过验证。
    • 失败 - DBSC 验证失败。点击相应状态可获取更多信息,例如错误代码。

一次失败并不一定意味着用户遇到了会话中断问题。如果连续发生多次验证失败,用户可能会受到干扰。

第 2 步:检查访问权限评估日志事件中是否存在访问权限遭拒的情况

使用此数据源可查看用户的 Cookie 是否被拒绝访问。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择访问评估日志事件
  3. 点击添加条件
  4. 对于属性,请选择事件然后作为运算符然后拒绝 Cookie 验证请求作为事件。
  5. 点击搜索
  6. 在结果表格中,点击事件状态列中的已拒绝说明列中的链接,打开侧边栏,您可以在其中查看以下失败原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

日志事件按会话分组。即使在每小时内多次尝试访问被阻止,系统也只会针对每位用户每小时记录一次事件。

第 3 步:调查会话中断是否由 DBSC 引起

用户可能会因各种原因而退出账号,例如会话时长限制、管理员定义的政策或网络问题。虽然退出登录并不总是表明存在 DBSC 问题,但特定的日志序列有助于识别潜在的 DBSC 相关活动,或系统阻止受损会话的实例。

您可以使用以下几点来帮助识别与 DBSC 相关的活动:

  • 查看日志序列 - 如果您发现 DBSC 密钥验证失败,随后出现 Deny Cookie Validation Request,则 DBSC 可能是导致用户退出账号的原因。
  • 了解对用户的影响 - 为确保账号安全,如果绑定流程遇到错误,用户需要重新登录。
  • 让用户不受 DBSC 约束:如果用户持续被登出,您可以创建一个不受 DBSC 约束的配置群组,并将用户添加到该群组,以评估 DBSC 是否导致了登出问题。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。