Förhindra cookiestöld med sessionsbindning (beta)

Som administratör kan du förbättra säkerheten för dina användares onlinesessioner genom att implementera Device Bound Session Credentials (DBSC). DBSC är utformat för att förhindra sessionskapning, även känt som cookiestöld.

Den här typen av cyberattack inträffar när en obehörig part får kontroll över en användares aktiva webbsession genom att stjäla sessionscookien – ofta genom skadlig kod på användarens enhet. En sessionscookie är en liten datafil som innehåller den unika sessionsidentifierare som utfärdas av webbplatsen vid inloggning. Genom att presentera denna stulna cookie kan angriparen utge sig för att vara den legitima användaren och fortsätta sin autentiserade session.

DBSC fungerar genom att binda en användares session till deras specifika enhet, vilket gör det svårt för angripare att använda stulna cookies på andra enheter. Genom att använda DBSC kan du minska risken för obehörig åtkomst till användarkonton och skydda känsliga användardata.

Krav för att använda DBSC

  • Chrome för Windows : För närvarande är DBSC endast tillgängligt i webbläsaren Chrome för Windows-enheter.
  • Hårdvarusäkerhet (TPM) : Användarens enhet måste ha en Trusted Platform Module (TPM), vilket är en standardhårdvarukomponent som redan är tillgänglig för de flesta enheter som kör Windows 11. Denna hårdvara lagrar säkert de kryptografiska nycklar som används för att binda sessionen till enheten. Användare kan vanligtvis hitta information om TPM-tillgänglighet i enhetens systeminställningar eller genom att konsultera enhetstillverkarens dokumentation.
  • Chrome-version : Användaren måste ha Chrome version 136 eller senare. För mer information, gå till Uppdatera Google Chrome .
  • Primärkonto : DBSC-skydd och logghändelsedata är endast tillgängliga för det primära kontot i en Chrome-webbläsarprofil.

Obs ! Sessionsbindning skyddar de flesta Google-cookies, även om vissa cookies eller sessioner kan förbli obundna.

Slå på DBSC

Innan du börjar: Om det behövs, lär dig hur du tillämpar inställningen på en avdelning eller grupp .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Google Sessionskontroll .

    Kräver administratörsbehörighet för säkerhetsinställningar .

  2. (Valfritt) Om du bara vill tillämpa inställningen på vissa användare väljer du en organisationsenhet (används ofta för avdelningar) eller konfigurationsgrupp (avancerad) på sidan.

    Gruppinställningar åsidosätter organisationsenheter. Läs mer

  3. För autentiseringsuppgifter för enhetsbundna sessioner väljer du Aktivera DBSC .
  4. Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.

    För att senare återställa det ärvda värdet klickar du på Ärv (eller Avaktivera för en grupp).

Tillämpa DBSC med kontextmedveten åtkomst

Begränsat till webbappar för stationära datorer och inte tillämpligt för mobilappar eller API:er

Du kan ytterligare förbättra säkerheten genom att kräva att användare har DBSC för att få åtkomst till specifika Google Workspace-appar. När du tillämpar DBSC uppmanas användarna att logga in igen om systemet upptäcker en skillnad med en tidigare upprättad bunden session. Denna omautentisering gör det möjligt för systemet att försöka en ny, säker bindning. Användare på plattformar som inte stöds blockeras från att komma åt den skyddade appen. Denna säkerhetsåtgärd konfigureras via kontextmedveten åtkomst.

Så här konfigurerar du DBSC-tillämpning:

  1. Aktivera DBSC för de användare som du vill skydda. För stegen, gå till Aktivera DBSC .
  2. Följ instruktionerna för att skapa en anpassad åtkomstnivå i Tillåt endast åtkomst till appar från DBSC-bundna sessioner .
  3. Tilldela åtkomstnivån till de appar som du bara vill ska nås av DBSC-begränsade sessioner i övervakningsläge för att simulera tillämpning utan att blockera användaråtkomst.
  4. Efter att ha utvärderat effekten, tilldela åtkomstnivåer i aktivt läge för att endast tillämpa åtkomst för DBSC-bundna sessioner. Mer information finns i Distribuera kontextmedveten åtkomst .

DBSC-tillämpning sker inte omedelbart, vilket innebär att efter att en användare har loggat in finns det en respitperiod innan tillämpningen tillämpas. Denna design hanterar potentiella tillfälliga bindningsproblem. När kopplingen är bunden kontrollerar systemet regelbundet om användare som använder de angivna apparna har DBSC-bundna sessioner. Eventuell omautentisering återställer denna respitperiod och DBSC kommer inte att tillämpas under den omautentiseringen.

Undersök DBSC-skydd och sessionsproblem

Du kan använda säkerhetsutredningsverktyget för att övervaka DBSC-skydd och felsöka sessionsavbrott. Det finns två loggkällor för DBSC-aktivitet:

  • Användarlogghändelser — Övervaka bindningen av åtkomsttokens till användarenheter.
  • Händelser i åtkomstutvärderingsloggen — Granska statusen för specifika cookies.

Steg 1: Sök efter DBSC-aktivitet i användarlogghändelser

Använd den här datakällan för att se om DBSC binder nycklar till användarenheter och validerar sessioner.

För att kontrollera om DBSC binder nycklar:

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. För Datakälla väljer du Användarlogghändelser .
  3. Klicka på Lägg till villkor .
  4. För Attribut , välj Händelse och sedan Är som operatorn och sedan DBSC-nyckelbindning som händelse.
  5. Klicka på Sök .
  6. I resultattabellen, granska kolumnen Händelsestatus :
    • Lyckades — DBSC-skydd är aktiverat för användaren och sessionen är skyddad.
    • Misslyckades —DBSC-bindningen misslyckades och skyddet är inte aktiverat för användaren.
    • Inga resultat — DBSC-skydd försöktes inte för den här användarsessionen.

För att kontrollera om DBSC validerar sessioner:

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Lägg till villkor .
  3. För Attribut , välj Händelse och sedan Är som operatorn och sedan DBSC-nyckelvalidering som händelse.
  4. Klicka på Sök .
  5. I resultattabellen, granska kolumnen Händelsestatus :
    • Lyckades — Cookien har validerats.
    • Misslyckades — DBSC-valideringen misslyckades. Klicka på statusen för att få ytterligare information, till exempel en felkod.

Ett fel betyder inte nödvändigtvis att användaren upplever sessionsavbrott. Användare kan få avbrott om flera valideringsfel inträffar i följd.

Steg 2: Kontrollera om det finns nekad åtkomst i händelser i åtkomstutvärderingsloggen

Använd den här datakällan för att se om en användares cookie nekades åtkomst.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. För Datakälla väljer du Åtkomst till utvärderingslogghändelser .
  3. Klicka på Lägg till villkor .
  4. För Attribut , välj Händelse och sedan Är som operatorn och sedan Neka begäran om cookievalidering som händelse.
  5. Klicka på Sök .
  6. I resultattabellen klickar du på Nekad i kolumnen Händelsestatus eller på länken i kolumnen Beskrivning för att öppna en sidopanel där du kan granska följande felorsaker:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Logghändelser grupperas efter session. Endast en händelse registreras per användare och timme, även om flera åtkomstförsök blockeras under den tiden.

Steg 3: Undersök om sessionsavbrott orsakas av DBSC

Användare kan loggas ut av olika anledningar, till exempel begränsningar av sessionslängd, administratörsdefinierade policyer eller nätverksproblem. Även om en utloggning inte alltid indikerar ett DBSC-problem, kan specifika loggsekvenser hjälpa till att identifiera potentiell DBSC-relaterad aktivitet eller fall där systemet blockerade en komprometterad session.

Använd dessa punkter för att identifiera DBSC-relaterad aktivitet:

  • Granska loggsekvenser – Om du hittar DBSC-nyckelvalideringsfel följt av en begäran om att neka cookievalidering kan DBSC vara orsaken till användarens utloggning.
  • Förstå påverkan på användaren – För att skydda kontot måste en användare logga in igen om ett fel uppstår under bindningsprocessen.
  • Undanta användare från DBSC – Om en användare konsekvent är utloggad kan du skapa en konfigurationsgrupp som är undantagen från DBSC och lägga till användaren i den gruppen för att utvärdera om DBSC orsakar utloggningarna.


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.