本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon WorkSpaces 應用程式中以 Cookie 為基礎的身分驗證 WorkSpaces 應用程式使用瀏覽器 Cookie 來驗證串流工作階段,並允許使用者重新連線至作用中工作階段,而不必每次都重新輸入登入資料。每個身分驗證案例的身分驗證字符都存放在瀏覽器 Cookie 中。雖然許多線上服務都需要 Cookie,但它們可能容易遭受 Cookie 盜竊攻擊。我們強烈建議您採取主動措施來防止 Cookie 遭竊,例如為使用者的裝置實作強大的端點保護解決方案。此外,為了減輕 Cookie 遭竊時的潛在影響,我們建議您考慮下列動作: + **強制執行單一工作階段限制**:針對 WorkSpaces 應用程式 Windows 映像,在 下建立登錄機碼`HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management`,名稱 **max-concurrent-clients** 設定為 1,一次僅允許一個連線。這會將並行工作階段的數量限制為一個,並封鎖作用中工作階段的鏡像。如需詳細資訊,請參閱[工作階段管理參數](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management)。 + **強制執行工作階段過期和重新驗證** + 減少 SessionDuration 值,讓身分驗證字符在使用者成功啟動串流工作階段後過期。在 sessionDuration 過期後重複使用身分驗證 Cookie 需要使用者自行重新驗證身分。SessionDuration 會指定使用者聯合串流工作階段在需要重新驗證之前可保持作用中狀態的時間上限。預設值為 60 分鐘。如需詳細資訊,請參閱[步驟 5:建立 SAML 身分驗證回應聲明](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions)。 + 為了協助最大化安全性,使用者應該使用工具列正確結束工作階段 (終止工作階段),而不是關閉串流視窗。透過工具列結束工作階段會同時終止使用者工作階段和串流執行個體。這需要重新驗證以供未來存取,以防止 Cookie 濫用。如果使用者關閉串流視窗而不結束工作階段,工作階段和執行個體會在可設定的中斷連線逾時期間 (以分鐘為單位) 保持作用中狀態。中斷連線逾時必須是介於 1 到 5760 之間的數字,預設值為 15 分鐘。為避免誤用非作用中工作階段,建議您設定短暫中斷連線逾時。如需詳細資訊,請參閱[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)。 + **限制將 WorkSpaces 應用程式串流至 IP 範圍的存取**:我們建議您實作 IP 型 IAM 政策。這可確保只能從 IP 地址屬於授權 IP 範圍的用戶端存取 WorkSpaces 應用程式工作階段。用戶端 IP 地址超出授權範圍的使用者所啟動的所有連線嘗試都會遭到拒絕,即使他們呈現的是有效的身分驗證 Cookie (可能遭竊的使用者)。如需詳細資訊,請參閱[限制將 Amazon AppStream 2.0 應用程式串流至 IP 範圍的存取](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/)。 + **新增其他身分驗證**:若要啟動加入網域的串流執行個體,您可以將 WorkSpaces 應用程式 Always-On 和 On-Demand Windows 機群和映像建置器加入 Microsoft Active Directory 中的網域,並使用現有的 Active Directory 網域,無論是雲端或內部部署。在初始 SAML 型身分驗證之後,系統會提示您的使用者提供其網域登入資料,以針對組織網域進行其他身分驗證。如需詳細資訊,請參閱[搭配 WorkSpaces 應用程式使用 Active Directory](active-directory.md)。 如果您有任何疑慮或需要協助,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。