منع سرقة ملفات تعريف الارتباط باستخدام ميزة ربط الجلسة (إصدار تجريبي)

بصفتك مشرفًا، يمكنك تعزيز أمان جلسات المستخدمين على الإنترنت من خلال تطبيق "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC). تم تصميم DBSC لمنع استغلال الجلسات، والذي يُعرف أيضًا باسم سرقة ملفات تعريف الارتباط.

يحدث هذا النوع من الهجمات الإلكترونية عندما يحصل طرف غير مصرّح به على التحكّم في جلسة الويب النشطة للمستخدم من خلال سرقة ملف تعريف ارتباط الجلسة، وغالبًا ما يتم ذلك من خلال برامج ضارة على جهاز المستخدم. ملف تعريف ارتباط الجلسة هو ملف بيانات صغير يحتوي على معرّف الجلسة الفريد الذي يصدره الموقع الإلكتروني أثناء تسجيل الدخول. ومن خلال تقديم ملف تعريف الارتباط المسروق هذا، يمكن للمهاجم انتحال هوية المستخدم الشرعي ومواصلة جلسته المعتمَدة.

تعمل "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) من خلال ربط جلسة المستخدم بجهازه المحدّد، ما يجعل من الصعب على المهاجمين استخدام ملفات تعريف الارتباط المسروقة على الأجهزة الأخرى. باستخدام "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC)، يمكنك تقليل خطر الوصول غير المصرّح به إلى حسابات المستخدمين، ما يحافظ على أمان بيانات المستخدمين الحسّاسة.

متطلبات استخدام "بيانات اعتماد الجلسة المرتبطة بالجهاز"

  • متصفّح Chrome لنظام التشغيل Windows: في الوقت الحالي، تتوفّر ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) على متصفّح Chrome لأجهزة Windows فقط.
  • أمان الأجهزة (وحدة النظام الأساسي الموثوقة): يجب أن يحتوي جهاز المستخدم على وحدة النظام الأساسي الموثوقة (TPM)، وهي مكوّن أساسي في الأجهزة متوفّر حاليًا لمعظم الأجهزة التي تعمل بنظام التشغيل Windows 11. يخزّن هذا الجهاز مفاتيح التشفير المستخدَمة لربط الجلسة بالجهاز بشكل آمن. يمكن للمستخدمين عادةً العثور على معلومات حول توفّر وحدة النظام الأساسي الموثوقة (TPM) في إعدادات نظام الجهاز أو من خلال الرجوع إلى مستندات الشركة المصنّعة للجهاز.
  • إصدار Chrome: يجب أن يكون لدى المستخدم الإصدار 136 من Chrome أو إصدار أحدث. للحصول على التفاصيل، انتقِل إلى تحديث Google Chrome.
  • الحساب الأساسي: لا تتوفّر حماية DBSC وبيانات أحداث السجلّ إلا للحساب الأساسي في ملف شخصي على متصفّح Chrome.

ملاحظة: تحمي ميزة "ربط الجلسة" معظم ملفات تعريف الارتباط من Google، ولكن قد تبقى بعض ملفات تعريف الارتباط أو الجلسات غير مرتبطة.

تفعيل ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز"

قبل البدء: يمكنك التعرّف على كيفية تطبيق الإعداد على قسم أو مجموعة، إذا لزم الأمر.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم التحكّم في البيانات والوصول ثم التحكّم في الجلسات على Google.

    يتطلب الحصول على امتياز مشرف إعدادات الأمان.

  2. (اختياري) لتطبيق الإعدادات على بعض المستخدمين فقط، من جانب الصفحة، اختَر الوحدة التنظيمية (غالبًا ما تُستخدم للأقسام) أو مجموعة ضبط (إعدادات متقدّمة).

    تلغي إعدادات المجموعة إعدادات الوحدات التنظيمية. مزيد من المعلومات

  3. بالنسبة إلى بيانات اعتماد الجلسة المرتبطة بالجهاز، اختَر تفعيل DBSC.
  4. انقر على حفظ. أو انقر على إلغاء بالنسبة إلى الوحدات التنظيمية.

    لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب (أو إلغاء الضبط بالنسبة إلى مجموعة).

فرض DBSC باستخدام إذن وصول مستنِد إلى السياق

يقتصر على تطبيقات الويب على أجهزة الكمبيوتر ولا ينطبق على التطبيقات على الأجهزة الجوّالة أو واجهات برمجة التطبيقات.

يمكنك تعزيز الأمان بشكل أكبر من خلال اشتراط أن يكون لدى المستخدمين "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) للوصول إلى تطبيقات Google Workspace معيّنة. عند فرض استخدام DBSC، يُطلب من المستخدمين تسجيل الدخول مرة أخرى إذا رصد النظام اختلافًا في جلسة مرتبطة تم إنشاؤها سابقًا. تتيح إعادة المصادقة هذه للنظام محاولة ربط جديد وآمن. يتم حظر المستخدمين على المنصات غير المتوافقة من الوصول إلى التطبيق المحمي. يتم ضبط تدبير الأمان هذا من خلال ميزة "إذن وصول مستنِد إلى السياق".

لتجهيز فرض "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC):

  1. يجب تفعيل "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) للمستخدمين الذين تريد حمايتهم. لمعرفة الخطوات، يُرجى الانتقال إلى مقالة تفعيل "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC).
  2. يُرجى اتّباع التعليمات لإنشاء مستوى وصول مخصّص في السماح بالوصول إلى التطبيقات من الجلسات المرتبطة ببيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC) فقط.
  3. يمكنك تحديد مستوى الوصول للتطبيقات التي تريد تمكين الوصول إليها فقط من خلال الجلسات المرتبطة ببيانات DBSC في وضع المراقبة لمحاكاة عملية فرض مستوى الوصول بدون حظر وصول المستخدم.
  4. بعد تقييم التأثير، يمكنك تحديد مستويات الوصول في وضع النشاط لفرض الوصول من خلال الجلسات المرتبطة ببيانات DBSC فقط. لمعرفة التفاصيل، يُرجى الانتقال إلى مقالة نشر ميزة "إذن وصول مستنِد إلى السياق".

يُرجى العلم أنّ فرض "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) لا يكون فوريًا، ما يعني أنّه بعد تسجيل دخول المستخدم، تكون هناك فترة سماح قبل فرض الميزة. يتيح هذا التصميم حلّ المشاكل المحتملة في الربط المؤقت. بعد الربط، يتحقّق النظام بشكل دوري من توفّر جلسات مرتبطة ببيانات DBSC لدى المستخدمين الذين يصلون إلى التطبيقات المحدّدة. ستؤدي أي عملية إعادة مصادقة إلى إعادة ضبط فترة السماح هذه، ولن يتم فرض بيانات DBSC أثناء عملية إعادة المصادقة هذه.

التحقيق في مشاكل الحماية والجلسات باستخدام "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC)

يمكنك استخدام "أداة التحقيق الأمني" لمراقبة حماية DBSC وتحديد المشاكل وحلّها عند انقطاع الجلسة. هناك مصدران لسجلات نشاط "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC):

  • أحداث سجلّ المستخدم: يمكنك تتبُّع ربط رموز الدخول بأجهزة المستخدمين.
  • أحداث سجلّ تقييم الوصول: راجِع حالة ملفات تعريف الارتباط المحدّدة.

الخطوة 1: البحث عن نشاط DBSC في أحداث سجلّ المستخدم

استخدِم مصدر البيانات هذا لمعرفة ما إذا كانت ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" تربط المفاتيح بأجهزة المستخدمين وتتحقّق من صحة الجلسات بنجاح.

للتأكّد ممّا إذا كانت ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" تربط المفاتيح، اتّبِع الخطوات التالية:

  1. في "وحدة تحكُّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    انتقِل إلى أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. بالنسبة إلى مصدر البيانات، اختَر أحداث سجلّ المستخدم.
  3. انقر على إضافة شرط.
  4. بالنسبة إلى السمة، اختَر الحدثثمIs كعامل التشغيلثمربط مفتاح DBSC كحدث.
  5. انقر على بحث.
  6. في جدول النتائج، راجِع عمود حالة الحدث:
    • تمت: تم تفعيل ميزة "بيانات اعتماد جلسة مرتبطة بالجهاز" (DBSC) للمستخدم، والجلسة محمية.
    • تعذّر: تعذّر ربط بيانات اعتماد الجلسة المرتبطة بالجهاز، ولم يتم تفعيل الحماية للمستخدم.
    • لم يتم العثور على نتائج: لم تتم محاولة توفير الحماية باستخدام ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" لجلسة المستخدم هذه.

للتحقّق مما إذا كانت ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" تتحقّق من صحة الجلسات، اتّبِع الخطوات التالية:

  1. في "وحدة تحكُّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    انتقِل إلى أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. انقر على إضافة شرط.
  3. بالنسبة إلى السمة، اختَر الحدثثمIs كعامل التشغيلثمالتحقّق من صحة مفتاح DBSC كحدث.
  4. انقر على بحث.
  5. في جدول النتائج، راجِع عمود حالة الحدث:
    • ناجحة: تم التحقّق من صحة ملف تعريف الارتباط بنجاح.
    • تعذّر: تعذّر التحقّق من صحة بيانات اعتماد الجلسة المرتبطة بالجهاز. انقر على الحالة للحصول على معلومات إضافية، مثل رمز الخطأ.

لا يعني حدوث خطأ واحد بالضرورة أنّ المستخدم يواجه انقطاعات في الجلسة. قد تحدث انقطاعات إذا حدثت عدة أخطاء في التحقّق من الصحة على التوالي.

الخطوة 2: التحقّق من حالات رفض الوصول في أحداث سجلّ تقييم الوصول

استخدِم مصدر البيانات هذا لمعرفة ما إذا تم رفض وصول مستخدم إلى ملف تعريف الارتباط.

  1. في "وحدة تحكُّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثم مركز الأمان ثم أداة التحقيق.

    انتقِل إلى أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. بالنسبة إلى مصدر البيانات، اختَر أحداث سجلّ تقييم الوصول.
  3. انقر على إضافة شرط.
  4. بالنسبة إلى السمة، اختَر الحدثثمنسبة الظهور كعامل التشغيلثمرفض طلب التحقّق من صحة ملف تعريف الارتباط كحدث.
  5. انقر على بحث.
  6. في جدول النتائج، انقر على مرفوض في عمود حالة الحدث أو على الرابط في عمود الوصف لفتح لوحة جانبية يمكنك فيها مراجعة أسباب الرفض التالية:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

يتم تجميع أحداث السجلّ حسب الجلسة. يتم تسجيل حدث واحد فقط لكل مستخدم كل ساعة، حتى إذا تم حظر محاولات وصول متعدّدة خلال تلك الفترة.

الخطوة 3: التحقّق ممّا إذا كانت انقطاعات الجلسة ناتجة عن DBSC

يمكن تسجيل خروج المستخدمين لأسباب مختلفة، مثل حدود مدة الجلسة أو السياسات التي يحدّدها المشرف أو مشاكل الشبكة. على الرغم من أنّ تسجيل الخروج لا يشير دائمًا إلى مشكلة في بيانات اعتماد الجلسة المرتبطة بالجهاز (DBSC)، يمكن أن تساعد تسلسلات السجلّ المحدّدة في تحديد الأنشطة المحتملة المرتبطة ببيانات اعتماد الجلسة المرتبطة بالجهاز أو الحالات التي حظر فيها النظام جلسة تم اختراقها.

استخدِم هذه النقاط للمساعدة في تحديد النشاط المرتبط بخدمة "مشاركة البيانات النظيفة":

  • مراجعة تسلسلات السجلّ: إذا تبيّن لك حدوث حالات تعذُّر التحقّق من مفتاح بيانات اعتماد الجلسة المرتبطة بالجهاز تليها رفض طلب التحقّق من ملف تعريف الارتباط، قد تكون بيانات اعتماد الجلسة المرتبطة بالجهاز هي السبب في تسجيل خروج المستخدم.
  • فهم التأثير على المستخدم: للحفاظ على أمان الحساب، على المستخدم تسجيل الدخول مرة أخرى إذا حدث خطأ في عملية الربط.
  • إعفاء المستخدمين من DBSC: إذا تم تسجيل خروج المستخدم بشكل متكرر، يمكنك إنشاء مجموعة ضبط معفاة من DBSC وإضافة المستخدم إلى تلك المجموعة لتقييم ما إذا كانت DBSC تتسبب في عمليات تسجيل الخروج.


إنّ Google وGoogle Workspace والعلامات والشعارات ذات الصلة هي علامات تجارية (TM) تابعة لشركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية (TM) تملكها الشركات ذات الصلة بها.