Verdächtige Sitzungscookies prüfen und Maßnahmen ergreifen

Als Google Workspace-Administrator können Sie sich per E-Mail benachrichtigen lassen, wenn Nutzer aufgrund verdächtiger Sitzungscookies abgemeldet wurden. Beim Cookiediebstahl-Hijacking bzw. Session-Hijacking wird die Sitzungs-ID eines Nutzers mithilfe von Cookies gestohlen, die bei der Anmeldung im Konto generiert wurden. Wird ein verdächtiges Sitzungscookie erkannt, wird die Sitzung beendet und der Nutzer wird für diese Sitzung und alle zugehörigen verdächtigen Sitzungen auf dem Gerät von seinem Konto abgemeldet. 

Wenn der Nutzer versucht, sich auf demselben Gerät noch einmal anzumelden, wird eine Meldung angezeigt, in der er aufgefordert wird, Malware oder unsichere Software zu entfernen. Der Nutzer muss außerdem einen zusätzlichen Bestätigungsschritt angeben, wenn er sich auf dem Gerät wieder im Konto anmeldet.

Mit dem Sicherheits-Prüftool oder dem Audit- und Prüftool können Sie Versuche ausfindig machen, Nutzerkonten über Sitzungscookies in Ihrer Organisation zu hacken.

Schritt 1: Prüfung starten

Option 1: Verdächtige Sitzungscookies im Sicherheits-Prüftool untersuchen

Unterstützte Versionen für die Datenquelle der Nutzer-Protokollereignisse im Prüftool:
Enterprise Plus, Education Plus, Cloud Identity Premiumversion, Enterprise Standard, Education Standard

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannSicherheitscenterund dannPrüftool.
  3. Wählen Sie im Menü Datenquelle die Option Nutzer-Protokollereignisse aus.
  4. Wählen Sie im Menü Bedingung hinzufügen die Option Ereignis aus und legen Sie als Bedingung Ist fest (Standardoption).
  5. Wählen Sie im Menü Ereignis die Option Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet aus. 
  6. Klicken Sie auf Suchen
    Die Suchergebnisse werden unten auf der Seite angezeigt.

Option 2: Verdächtige Sitzungscookies auf der Audit- und Prüfseite untersuchen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Berichterstellungund dannAudit und Prüfungund dannNutzer-Protokollereignisse.
  3. Klicken Sie auf Filter hinzufügen und wählen Sie dann Ereignis aus.
  4. Prüfen Sie im Pop-up-Fenster, ob der Operator im oberen Menü auf Ist (Standardoption) gesetzt ist, wählen Sie im Pop-up-Fenster Nutzer wegen verdächtigem Sitzungscookie abgemeldet aus und klicken Sie dann auf Übernehmen.
  5. Klicken Sie auf Suchen
    Die Protokolle werden unten auf der Seite angezeigt. 

Schritt 2: Maßnahmen ergreifen

Klicken Sie in der Spalte Beschreibung auf Verdächtiges Sitzungscookie, um den Bereich mit den Protokolldetails zu öffnen. Wenn in der Zeile Ist verdächtig der Wert Wahr steht, helfen Sie den betroffenen Nutzern dabei, die Schritte zum Entfernen von Malware oder unsicherer Software auszuführen.

Manipulierte Konten sichern

Wenn Sie vermuten, dass ein Konto manipuliert oder gehackt wurde, können Sie als Administrator dafür sorgen, dass die Konten Ihrer Nutzer sicher sind. Arbeiten Sie mit den betroffenen Nutzern zusammen, um gehackte Konten zu erkennen und zu sichern.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
8103938762742423649
true
Suchen in der Hilfe
true
true
true
false
false