通过会话绑定功能防止 Cookie 被盗

Google Workspace 会使用设备绑定会话凭证 (DBSC) 自动增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。

此类网络攻击发生在未经授权的第三方通过盗取会话 Cookie(通常是通过用户设备上的恶意软件)来控制用户的活动网络会话时。会话 Cookie 是在登录期间由网站发出的小型数据文件,其中包含唯一会话标识符。通过利用此被盗 Cookie,攻击者可冒充合法用户并继续其已验证的会话。

DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗的 Cookie。这样一来,系统就会创建一个基于硬件的安全边界,从而降低用户账号遭受未经授权访问的风险,并确保敏感数据的安全。DBSC 默认对所有 Workspace 账号处于开启状态。无需管理员执行任何操作即可启用此保护机制。

使用 DBSC 的要求

  • Chrome 浏览器:Windows 版 146 或更高版本。如需了解详情,请前往 更新 Google Chrome
  • 硬件安全 :需要基于硬件的安全功能,以安全地存储用于将会话绑定到设备的加密密钥。 对于 Windows,这是可信平台模块 (TPM), 大多数运行 Windows 11 的设备都标配了该模块。请参阅设备制造商的文档,以确认硬件功能。

DBSC 保护机制的应用方式

当用户的设备和浏览器满足必要的技术要求时,系统会自动应用 DBSC 保护机制。在某些情况下,会话可能仍处于未绑定状态。常见原因包括:

  • 不受支持的环境:用户操作系统、浏览器 版本或硬件安全(例如 Windows 上的 TPM)存在问题。
  • 现有会话:DBSC 保护机制仅适用于新会话。如果用户在启用 DBSC 时已登录,则必须先退出账号,然后重新登录才能绑定会话。
  • 浏览器修改:某些浏览器扩展程序或对 Cookie 的手动更改可能会阻止 DBSC 正常运行。

使用情境感知访问权限强制执行 DBSC

仅限桌面版 Web 应用,不适用于移动应用或 API

您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。当您强制执行 DBSC 时,如果系统检测到与之前建立的绑定会话存在差异,系统会提示用户重新登录。通过重新进行身份验证,系统可以尝试建立新的安全绑定。如果用户使用的平台不受支持,则无法访问受保护的应用。此安全措施通过情境感知访问权限进行配置。

如需设置 DBSC 强制执行,请执行以下操作:

  1. 按照仅允许通过 DBSC 绑定的会话 访问应用 中的说明创建自定义访问权限级别
  2. 监控模式 下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
  3. 评估影响后,请在活动模式 下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署 情境感知访问权限

DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计可应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否拥有 DBSC 绑定会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。

调查 DBSC 保护机制和会话问题

您可以使用安全调查工具监控 DBSC 保护机制并排查会话中断问题。DBSC 活动有 2 个日志来源:

  • 用户日志事件:监控访问令牌与用户设备的绑定。
  • 访问评估日志事件:查看特定 Cookie 的状态。

注意 :如果多用户账号登录了同一 Chrome 浏览器个人资料,则只有主账户才能看到 DBSC 日志事件。

第 1 步:在用户日志 事件中搜索 DBSC 活动

使用此数据源查看 DBSC 是否成功将密钥绑定到用户 设备并验证会话。

如需检查 DBSC 是否正在绑定密钥,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,请选择用户日志 事件
  3. 点击添加条件
  4. 对于属性,请选择事件然后Is为运算符然后DBSC 密钥绑定为事件。
  5. 点击搜索
  6. 在结果表中,查看事件状态 列:
    • 成功:已为 用户启用 DBSC 保护机制,并且会话受到保护。
    • 失败:DBSC 绑定失败,并且未为用户启用保护机制。
    • 无结果:未尝试为此用户会话启用 DBSC 保护机制。

如需检查 DBSC 是否正在验证会话,请执行以下操作

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击添加条件
  3. 对于属性,请选择事件然后为运算符选择Is然后为事件选择DBSC 密钥验证
  4. 点击搜索
  5. 在结果表中,查看事件状态 列:
    • 成功:Cookie 已成功通过验证。
    • 失败:DBSC 验证失败。点击状态 可获取其他信息,例如错误代码。

一次失败并不一定意味着用户遇到了会话 中断问题。如果连续多次验证 失败,用户可能会遇到中断问题。

第 2 步:在访问 评估日志事件中检查访问遭拒情况

使用此数据源查看用户的 Cookie 是否被拒绝 访问。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 对于数据源,请选择访问 评估日志事件
  3. 点击添加条件
  4. 对于属性 ,请选择事件然后 为运算符选择 Is 然后 为事件选择 Deny Cookie Validation Request
  5. 点击搜索
  6. 在结果表中,点击已拒绝事件状态 列中,或点击说明 列中的链接,打开侧边栏,您可以在其中查看以下失败原因:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

日志事件按会话分组。为了管理日志量,每个唯一会话和失败类型每小时仅记录一个事件 。在这一小时内,任何其他 具有相同详细信息的尝试都不会被记录。

第 3 步:调查会话中断 是否由 DBSC 引起

用户可能会因各种原因退出登录,例如会话时长 限制、管理员定义的政策或网络问题。虽然退出登录 并不总是表明存在 DBSC 问题,但特定的日志序列可以帮助 识别潜在的 DBSC 相关活动或系统 阻止受损会话的情况。

使用以下几点来帮助识别 DBSC 相关活动:

  • 查看日志序列:如果您发现 DBSC 密钥 验证失败,然后是 Deny Cookie Validation 请求,则 DBSC 可能是导致用户退出的原因。
  • 了解对用户的影响:为了确保 账号安全,如果绑定过程 遇到错误,用户需要重新登录。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。