Чтобы настроить безопасный выход, выполните следующие действия.

  1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

  2. В области сведений щелкните допустимое правило веб-публикации, использующее проверку подлинности на основе HTML-форм.

  3. На вкладке Задачи нажмите кнопку Изменить выбранное правило.

  4. На вкладке Параметры приложения, в поле URL-адрес выхода с опубликованного сервера введите строку, которая используется в ссылке выхода на опубликованной веб-странице для отображения запроса выхода, например ?Cmd=logoff или logoff=1.

  5. Нажмите кнопку ОК.

  6. На вкладке Прослушиватель нажмите кнопку Свойства.

  7. На вкладке Формы нажмите кнопку Дополнительно.

  8. В разделе Параметры файлов cookie можно указать имя файла cookie, который Forefront TMG предоставляет клиенту после успешной проверки подлинности на основе форм. Из раскрывающегося списка можно выбрать один из вариантов: файлы cookie постоянны (то есть продолжают существовать у клиента после завершения сеанса) на всех компьютерах, только на частных компьютерах либо никогда.

  9. В поле Игнорировать IP-адрес веб-обозревателя при проверке файла cookie укажите, следует ли разрешить клиентам использовать один и тот же файл Cookie с разных IP-адресов. Например, запросы от одного клиента могут приходить с разных IP-адресов. Это возможно в том случае, если между клиентом и Forefront TMG расположена подсистема балансировки нагрузки.

  10. В разделе Параметры безопасности клиента выполните следующие действия.

    • Выберите параметр Отслеживать максимальное время бездействия, чтобы установить тайм-аут на основе интервала времени, в течение которого клиент находится в состоянии бездействия.

    • Выберите параметр Отслеживать максимальную продолжительность сеанса, чтобы установить тайм-аут на основе продолжительности сеанса. После этого укажите тайм-ауты для общего и частного компьютеров, которые будут использоваться для установки максимального времени бездействия или максимальной продолжительности сеанса.

    • Выберите параметр Применить тайм-аут сеанса к клиентам, не являющимся обозревателями, чтобы применить тайм-аут сеанса к клиентам не на основе обозревателей (например, Outlook RPC/HTTP и ActiveSync).

  11. Нажмите кнопку ОК три раза.

  12. В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Примечание.
  • Когда Forefront TMG получает в пользовательском запросе настроенный URL-адрес выхода из приложения, он осуществляет выход пользователя из системы, удаляет файл Cookie проверки подлинности с клиентского компьютера и уведомляет об отзыве этого файла. Затем Forefront TMG отображает страницу выхода, которая сообщает пользователю об успешном выходе из системы.

  • Непостоянные файлы Cookie удаляются с клиентского компьютера, когда все окна обозревателя закрываются (завершение процесса обозревателя) либо по окончании работы пользователя на данном компьютере. Постоянные файлы cookie остаются на компьютере после закрытия окон обозревателя и удаляются только по мере завершения работы пользователя. Также можно установить максимальное время бездействия на тот случай, если пользователь отойдет от компьютера и оставит обозреватель открытым и неактивным, чтобы срок действия файла cookie автоматически истек.

  • Если выбраны постоянные файлы cookie, можно указать, где они используются: на общих либо частных компьютерах. Обратите внимание: при входе в систему пользователь указывает, с какого компьютера выполняется вход: общего или частного.

  • Если, работая на общедоступном компьютере, пользователь не выходит из системы, файл cookie сеанса может использоваться следующим пользователем для доступа к опубликованным узлам. Эта угроза может быть устранена за счет отключения функции использования постоянных файлов cookie на общедоступных компьютерах.

  • Постоянные файлы cookie позволяют пользователям открывать документы из служб Microsoft Windows SharePoint Services без повторного ввода учетных данных. Тем не менее рекомендуется использовать постоянные файлы cookie только на частных компьютерах.

  • В качестве дополнительной меры предосторожности во избежание угроз безопасности, связанных с файлами cookie, рекомендуется создать процесс выхода, который будет удалять эти файлы, и сообщить сотрудникам о необходимости выходить из системы каждый раз, когда они отходят от общего компьютера. Процесс выхода должен запускаться по ссылке или нажатию кнопки на корпоративной веб-странице.

  • По истечении тайм-аута сеанса клиенты должны войти в сеанс с использованием соответствующих учетных данных пользователей.

  • При установке тайм-аута для проверки подлинности на основе форм рекомендуется, чтобы этот тайм-аут был короче, чем заданный опубликованным сервером. Если опубликованный сервер прекращает работу раньше компьютера Forefront TMG, пользователь может ошибочно предположить, что сеанс завершен. Это открывает злоумышленникам путь к использованию данного сеанса, который остается открытым до тех пор, пока пользователь не закроет его либо не истечет тайм-аут, заданный Forefront TMG в соответствии с настройкой параметров формы.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.