Zapobieganie kradzieży plików cookie dzięki powiązaniu sesji (wersja beta)

Jako administrator możesz zwiększyć bezpieczeństwo sesji online użytkowników, wdrażając dane uwierzytelniające sesji powiązane z urządzeniem (DBSC). DBSC ma zapobiegać przechwyceniu sesji, czyli kradzieży plików cookie.

Ten typ cyberataku ma miejsce, gdy niepowołana osoba przejmuje kontrolę nad aktywną sesją przeglądarki użytkownika, kradnąc plik cookie sesji – często za pomocą złośliwego oprogramowania na urządzeniu użytkownika. Plik cookie sesji to mały plik danych zawierający unikalny identyfikator sesji wydany przez witrynę podczas logowania. Przekazując ten skradziony plik cookie, osoba przeprowadzająca atak może podszywać się pod uprawnionego użytkownika i kontynuować uwierzytelnioną sesję.

DBSC wiąże sesję użytkownika z jego konkretnym urządzeniem, utrudniając osobom przeprowadzającym atak używanie skradzionych plików cookie na innych urządzeniach. Dzięki DBSC możesz zmniejszyć ryzyko nieautoryzowanego dostępu do kont użytkowników i zachować bezpieczeństwo danych użytkownika.

Wymagania dotyczące korzystania z DBSC

  • Chrome na Windowsa: obecnie dane DBSC są dostępne tylko w przeglądarce Chrome na urządzeniach z systemem Windows.
  • Zabezpieczenia sprzętowe (TPM): urządzenie użytkownika musi mieć moduł zaufanej platformy (TPM), który jest standardowym komponentem sprzętowym dostępnym już na większości urządzeń z systemem Windows 11. Ten sprzęt bezpiecznie przechowuje klucze kryptograficzne używane do wiązania sesji z urządzeniem. Użytkownicy mogą znaleźć informacje o dostępności TPM w ustawieniach systemu urządzenia lub w dokumentacji producenta urządzenia.
  • Wersja Chrome: użytkownik musi mieć Chrome w wersji 136 lub nowszej. Więcej informacji znajdziesz w artykule Aktualizowanie Google Chrome.
  • Konto główne: ochrona DBSC i dane zdarzeń z dziennika są dostępne tylko w przypadku konta głównego w profilu przeglądarki Chrome.

Uwaga: wiązanie sesji chroni większość plików cookie Google, ale niektóre pliki cookie lub sesje mogą pozostać niezwiązane.

Włączanie DBSC

Zanim zaczniesz: w razie potrzeby dowiedz się, jak zastosować to ustawienie w dziale lub grupie.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potem Dostęp do danych i kontrola nad nimi a potem Kontrola sesji Google.

    Wymaga uprawnień administratora Ustawienia zabezpieczeń.

  2. (Opcjonalnie) Aby zastosować to ustawienie tylko do niektórych użytkowników, z boku wybierz jednostkę organizacyjną (często używaną na potrzeby działów) lub grupę konfiguracji (zaawansowane).

    Ustawienia grupy zastępują ustawienia jednostek organizacyjnych. Więcej informacji

  3. Obok Danych uwierzytelniających sesji powiązanych z urządzeniem wybierz Włącz DBSC.
  4. Kliknij Zapisz. W przypadku jednostki organizacyjnej możesz też kliknąć Zastąp.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz (lub Cofnij ustawienie w przypadku grupy).

Wymuszanie używania DBSC za pomocą dostępu zależnego od kontekstu

Ograniczone do aplikacji internetowych na komputer i nieobowiązujące w przypadku aplikacji mobilnych lub interfejsów API

Możesz dodatkowo zwiększyć bezpieczeństwo, wymagając, żeby użytkownicy mieli DSBC w celu uzyskiwania dostępu do określonych aplikacji Google Workspace. Gdy wymusisz DBSC, użytkownicy będą proszeni o ponowne zalogowanie się, jeśli system wykryje różnicę w stosunku do wcześniej utworzonej sesji powiązanej. Ponowne uwierzytelnianie umożliwia systemowi podjęcie próby nowego, bezpiecznego powiązania. Użytkownicy korzystający z nieobsługiwanych platform nie mogą uzyskać dostępu do chronionej aplikacji. To zabezpieczenie można skonfigurować za pomocą dostępu zależnego od kontekstu.

Aby skonfigurować wymuszanie DBSC:

  1. Włącz DBSC dla użytkowników, których chcesz chronić. Instrukcje znajdziesz w artykule na temat włączania DBSC.
  2. Aby utworzyć niestandardowy poziom dostępu, postępuj zgodnie z instrukcjami podanymi w artykule na temat zezwalania na dostęp do aplikacji tylko z sesji związanych z DBSC.
  3. Przypisz poziom dostępu do aplikacji, do których dostęp mają mieć tylko sesje związane z DBSC, w trybie monitorowania, aby symulować wymuszania bez blokowania dostępu użytkowników.
  4. Po ocenie wpływu przypisz poziomy dostępu w trybie aktywnym, aby wymusić dostęp tylko z sesji związanych z DBSC. Szczegółowe informacje znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.

Wymuszanie DBSC nie jest natychmiastowe, co oznacza, że po zalogowaniu się użytkownika obowiązuje okres prolongaty, zanim zostanie zastosowane wymuszanie. Takie rozwiązanie pozwala rozwiązać potencjalne tymczasowe problemy z wiązaniem. Po powiązaniu system okresowo sprawdza, czy użytkownicy korzystający z określonych aplikacji mają sesje związane DBSC. Każde ponowne uwierzytelnianie spowoduje zresetowanie tego okresu prolongaty, a DBSC nie zostanie wymuszone podczas ponownego uwierzytelniania.

Sprawdzanie ochrony DBSC i problemów z sesjami

Za pomocą narzędzia do analizy zagrożeń możesz monitorować ochronę DBSC i rozwiązywać problemy z przerwami w sesji. Istnieją 2 źródła logów aktywności DBSC:

  • Zdarzenia w dzienniku użytkownika – monitoruj powiązanie tokenów dostępu z urządzeniami użytkowników.
  • Zdarzenia z dziennika oceny dostępu – sprawdzaj stan poszczególnych plików cookie.

Krok 1. Wyszukaj aktywność DBSC w zdarzeniach z dziennika użytkownika

Użyj tego źródła danych, aby sprawdzić, czy DBSC prawidłowo wiąże klucze z urządzeniami użytkowników i weryfikuje sesje.

Aby sprawdzić, czy DBSC wiąże klucze:

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia w dzienniku użytkownika.
  3. Kliknij Dodaj warunek.
  4. W sekcji Atrybut wybierz Zdarzeniea potemRówne jako operatora potemPowiązanie klucza DBSC jako zdarzenie.
  5. Kliknij Szukaj.
  6. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Udało się – ochrona DBSC jest włączona dla użytkownika, a sesja jest chroniona.
    • Niepowodzenie – nie udało się powiązać DBSC, a ochrona nie jest włączona na koncie użytkownika.
    • Brak wyników – w przypadku tej sesji użytkownika nie podjęto próby ochrony DBSC.

Aby sprawdzić, czy DBSC weryfikuje sesje:

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Dodaj warunek.
  3. W przypadku Atrybutu wybierz Zdarzeniea potemRówne jako operatora potemWeryfikacja klucza DBSC jako zdarzenie.
  4. Kliknij Szukaj.
  5. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Succeeded (Powiodło się) – plik cookie został zweryfikowany.
    • Niepowodzenie – weryfikacja DBSC nie powiodła się. Kliknij stan, aby uzyskać dodatkowe informacje, np. kod błędu.

Jedno niepowodzenie nie musi oznaczać, że użytkownik ma problemy z sesją. Jeśli wystąpi kilka kolejnych błędów weryfikacji, użytkownicy mogą doświadczyć przerw w działaniu usługi.

Krok 2. Sprawdź, czy w zdarzeniach z dziennika oceny dostępu występują odmowy dostępu

Użyj tego źródła danych, aby sprawdzić, czy użytkownikowi odmówiono dostępu do pliku cookie.

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia z dziennika oceny dostępu.
  3. Kliknij Dodaj warunek.
  4. W przypadku Atrybut wybierz Zdarzeniea potemRówne jako operatora potemOdmowa żądania weryfikacji plików cookie jako zdarzenie.
  5. Kliknij Szukaj.
  6. W tabeli wyników kliknij Odrzucono w kolumnie Stan zdarzenia lub link w kolumnie Opis, aby otworzyć panel boczny, w którym możesz sprawdzić te przyczyny niepowodzenia:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Zdarzenia z dziennika są pogrupowane według sesji. Co godzinę rejestrowane jest tylko 1 zdarzenie na użytkownika, nawet jeśli w tym czasie zablokowanych zostanie wiele prób dostępu.

Krok 3. Sprawdź, czy przerwy w sesjach są spowodowane przez DBSC

Użytkownicy mogą zostać wylogowani z różnych powodów, np. z powodu limitów długości sesji, zasad określonych przez administratora lub problemów z siecią. Wylogowanie nie zawsze oznacza problem z DBSC, ale konkretne sekwencje logów mogą pomóc w identyfikowaniu potencjalnej aktywności związanej z DBSC lub przypadków, w których system zablokował przejętą sesję.

Aby łatwiej rozpoznawać aktywność związaną z DBSC, zwróć uwagę na te kwestie:

  • Sprawdź sekwencje logów – jeśli znajdziesz błędy weryfikacji klucza DBSC, po których następuje odmowa żądania weryfikacji pliku cookie, przyczyną wylogowania użytkownika może być DBSC.
  • Wpływ na użytkownika – aby chronić konto, użytkownik musi zalogować się ponownie, jeśli podczas procesu wiązania wystąpi błąd.
  • Wyłączenie DBSC dla użytkowników – jeśli użytkownik jest stale wylogowywany, możesz utworzyć grupę konfiguracji wyłączoną z DBSC i dodać do niej użytkownika, aby sprawdzić, czy to DBSC powoduje wylogowywanie.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.