通过会话绑定功能防止 Cookie 被盗

Google Workspace 会自动使用设备绑定会话凭证 (DBSC) 来增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。

此类网络攻击发生在未经授权的第三方通过盗取会话 Cookie(通常是通过用户设备上的恶意软件)来控制用户的活动网络会话时。会话 Cookie 是一个小型数据文件,其中包含网站在登录期间发出的唯一会话标识符。通过利用此被盗 Cookie,攻击者可冒充合法用户并继续其已验证的会话。

DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗 Cookie。这样一来,便可创建基于硬件的安全边界,降低用户账号遭受未经授权访问的风险,并确保敏感数据的安全。默认情况下,所有 Workspace 账号均会启用 DBSC。无需管理员采取任何行动即可启用此保护措施。

使用 DBSC 的要求

  • Chrome 浏览器:适用于 Windows 的 146 或更高版本。如需了解详情,请参阅更新 Google Chrome
  • 硬件安全:需要基于硬件的安全功能来安全地存储用于将会话绑定到设备的加密密钥。对于 Windows,这是可信平台模块 (TPM),大多数运行 Windows 11 的设备都标配该模块。请参阅设备制造商的文档,确认硬件功能。

DBSC 保护功能的应用方式

当用户的设备和浏览器满足必要的技术要求时,系统会自动应用 DBSC 保护。在某些情况下,会话可能仍处于未绑定状态。常见原因包括:

  • 不支持的环境 - 用户操作系统、浏览器版本或硬件安全(例如 Windows 上的 TPM)存在问题。
  • 现有会话 - DBSC 保护仅适用于新会话。在启用 DBSC 时已登录的用户必须退出登录并重新登录,才能绑定其会话。
  • 浏览器修改 - 某些浏览器扩展程序或对 Cookie 的手动更改可能会导致 DBSC 无法正常运行。

使用情境感知访问权限强制执行 DBSC

仅限桌面版 Web 应用,不适用于移动应用或 API

您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。强制执行 DBSC 后,如果系统检测到与之前建立的绑定会话存在差异,系统会提示用户重新登录。通过重新进行身份验证,系统可以尝试建立新的安全绑定。系统会禁止使用不受支持的平台的用户访问受保护的应用。此安全措施通过情境感知访问权限进行配置。

如需设置 DBSC 强制执行,请执行以下操作:

  1. 按照仅允许通过 DBSC 绑定的会话访问应用中的说明创建自定义访问权限级别。
  2. 监控模式下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
  3. 评估影响后,请在活动模式下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署情境感知访问权限

DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计可应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否拥有 DBSC 绑定的会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。

调查 DBSC 保护和会话问题

您可以使用安全调查工具监控 DBSC 保护并排查会话中断问题。DBSC 活动有 2 个日志来源:

  • 用户日志事件 - 监控访问令牌与用户设备的绑定情况。
  • 访问评估日志事件 - 查看特定 Cookie 的状态。

注意:如果多个用户账号登录了同一 Chrome 浏览器个人资料,则只有主账号才能看到 DBSC 日志事件。

第 1 步:在用户日志事件中搜索 DBSC 活动

使用此数据源可查看 DBSC 是否成功将密钥绑定到用户设备并验证会话。

如需检查 DBSC 是否正在绑定密钥,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 数据源中,选择用户日志事件
  3. 点击添加条件
  4. 对于属性,请选择事件然后作为运算符然后DBSC 密钥绑定作为事件。
  5. 点击搜索
  6. 在结果表格中,查看活动状态列:
    • 成功 - 已为用户启用 DBSC 保护,会话受到保护。
    • 失败 - DBSC 绑定失败,未为用户启用保护。
    • 无结果 - 未尝试为此用户会话提供 DBSC 保护。

如需检查 DBSC 是否正在验证会话,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击添加条件
  3. 对于属性,请选择事件然后作为运算符然后DBSC 密钥验证作为事件。
  4. 点击搜索
  5. 在结果表格中,查看活动状态列:
    • 成功 - Cookie 已成功通过验证。
    • 失败 - DBSC 验证失败。点击相应状态可获取更多信息,例如错误代码。

一次失败并不一定意味着用户遇到了会话中断问题。如果连续发生多次验证失败,用户可能会受到干扰。

第 2 步:检查“访问评估”日志事件中是否存在访问遭拒情况

使用此数据源可查看用户的 Cookie 是否被拒绝访问。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,选择访问评估日志事件
  3. 点击添加条件
  4. 对于属性,请选择事件然后作为运算符然后拒绝 Cookie 验证请求作为事件。
  5. 点击搜索
  6. 在结果表格中,点击事件状态列中的已拒绝说明列中的链接,打开侧边栏,您可以在其中查看以下失败原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

日志事件按会话分组。为了管理日志量,对于每个唯一会话和失败类型,每小时仅记录一个事件。在该小时内,系统不会记录任何其他具有相同详细信息的尝试。

第 3 步:调查会话中断是否由 DBSC 引起

用户可能会因各种原因而退出账号,例如会话时长限制、管理员定义的政策或网络问题。虽然退出登录并不总是表明存在 DBSC 问题,但特定的日志序列有助于识别潜在的 DBSC 相关活动或系统阻止遭入侵会话的实例。

以下几点有助于您识别与 DBSC 相关的活动:

  • 查看日志序列 - 如果您发现 DBSC 密钥验证失败,随后又出现 Deny Cookie Validation Request,则 DBSC 可能是导致用户退出账号的原因。
  • 了解对用户的影响 - 为确保账号安全,如果绑定流程遇到错误,用户需要重新登录。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。