作为管理员,您可以通过实现设备绑定会话凭证 (DBSC) 来增强用户在线会话的安全性。DBSC 的设计旨在防止会话劫持(也常称为 Cookie 盗用)。
此类网络攻击发生在未经授权的第三方通过盗取网站在登录期间发出的会话 Cookie(一个包含唯一会话标识符的小型数据文件)来控制用户的活动网络会话时。通过利用此被盗 Cookie,攻击者可冒充合法用户并继续其已验证的会话。
DBSC 的工作原理是将用户的会话绑定到其特定设备,使攻击者难以在其他设备上使用被盗 Cookie。使用 DBSC 可降低用户账号遭受未经授权访问的风险,从而保护敏感用户数据。
使用 DBSC 的要求
- 目前,DBSC 仅支持在 Windows 设备上通过 Chrome 浏览器使用。
- 用户的设备必须配备可信平台模块 (TPM),这是一种用于安全存储和处理加密数据的标准硬件组件,大多数运行 Windows 11 的设备已内置该模块。用户通常可以在设备的系统设置中,或通过查阅设备制造商文档,找到有关 TPM 可用性的信息。
- 用户必须使用 Chrome 136 或更高版本。如需了解详情,请参阅更新 Google Chrome。
开启 DBSC
准备工作:如有需要,请了解如何将设置应用于部门或群组。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 对于设备绑定会话凭证,选择启用 DBSC。
-
点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
启用 DBSC 的潜在结果
启用 DBSC 后,用户可能会遇到以下情况:
- 会话中断 - 如果用户的会话有效,但绑定流程遇到错误,系统会要求用户重新登录。这有助于保护用户的账号和数据。
- 持续存在的问题:如果用户持续遇到 DBSC 问题,可能会频繁被登出。在这种情况下,用户应联系其管理员以获取排障支持,管理员可能会为其账号停用 DBSC。管理员可以创建一个不受 DBSC 约束的群组,并将用户添加到该群组。
使用情境感知访问权限强制执行 DBSC
仅限桌面版 Web 应用,不适用于移动应用或 API
您可以要求用户必须拥有 DBSC 才能访问特定 Google Workspace 应用,从而进一步加强安全性。如果用户尝试在未绑定 DBSC 会话的情况下访问受保护的应用,则会被拒绝访问。此安全措施通过情境感知访问权限进行配置。
如需设置 DBSC 强制执行,请执行以下操作:
- 为您要保护的用户启用 DBSC。如需了解相关步骤,请参阅启用 DBSC。
- 按照仅允许通过 DBSC 绑定的会话访问应用中的说明创建自定义访问权限级别。
- 在监控模式下,将访问权限级别分配给您希望仅通过 DBSC 绑定会话访问的应用,以模拟强制执行,同时不阻止用户访问。
- 评估影响后,请在活动模式下分配访问权限级别,以强制执行仅限 DBSC 绑定的会话的访问权限。如需了解详情,请参阅部署情境感知访问权限。
DBSC 强制执行不会立即生效,这意味着用户登录后会有一个宽限期,系统随后才会应用强制策略。此设计可应对可能出现的临时绑定问题。绑定后,系统会定期检查访问指定应用的用户是否拥有 DBSC 绑定的会话。任何重新身份验证都会重置宽限期,且在此过程中不会强制执行 DBSC。
检查 DBSC 日志事件
启用 DBSC 后,您可以查看用户日志事件,以检查是否发生了 DBSC 事件。例如,您可以检查 DBSC 密钥绑定是成功还是失败。
注意:如果多个用户账号登录了同一 Chrome 浏览器个人资料,则只有主账号才能看到 DBSC 日志事件。
如需检查是否发生了事件,请执行以下操作:
- 打开用户日志事件。
如需了解详情,请参阅用户日志事件。 - 点击添加过滤条件
事件。
- 选择一个 DBSC 事件,然后点击应用。
如需详细了解事件,请参阅下表:
| 事件名称 | 说明 |
| DBSC 密钥绑定 | 尝试将用户的会话绑定到其设备。事件状态显示为成功或失败。如果绑定成功,系统会生成新的 TPM 密钥对,并将该密钥绑定到设备。 |
| DBSC 密钥验证 |
尝试验证 DBSC 密钥失败,导致出现以下错误代码之一:
|
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
