Настройка безопасного выхода

Чтобы настроить безопасный выход, выполните следующие действия.

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
В области сведений щелкните допустимое правило веб-публикации, использующее проверку подлинности на основе HTML-форм.
На вкладке Задачи нажмите кнопку Изменить выбранное правило.
На вкладке Параметры приложения, в поле URL-адрес выхода с опубликованного сервера введите строку, которая используется в ссылке выхода на опубликованной веб-странице для отображения запроса выхода, например ?Cmd=logoff или logoff=1.
Нажмите кнопку ОК.
На вкладке Прослушиватель нажмите кнопку Свойства.
На вкладке Формы нажмите кнопку Дополнительно.
В разделе Параметры файлов cookie можно указать имя файла cookie, который Forefront TMG предоставляет клиенту после успешной проверки подлинности на основе форм. Из раскрывающегося списка можно выбрать один из вариантов: файлы cookie постоянны (то есть продолжают существовать у клиента после завершения сеанса) на всех компьютерах, только на частных компьютерах либо никогда.
В поле Игнорировать IP-адрес веб-обозревателя при проверке файла cookie укажите, следует ли разрешить клиентам использовать один и тот же файл Cookie с разных IP-адресов. Например, запросы от одного клиента могут приходить с разных IP-адресов. Это возможно в том случае, если между клиентом и Forefront TMG расположена подсистема балансировки нагрузки.
В разделе Параметры безопасности клиента выполните следующие действия.
- Выберите параметр Отслеживать максимальное время бездействия, чтобы установить тайм-аут на основе интервала времени, в течение которого клиент находится в состоянии бездействия.
- Выберите параметр Отслеживать максимальную продолжительность сеанса, чтобы установить тайм-аут на основе продолжительности сеанса. После этого укажите тайм-ауты для общего и частного компьютеров, которые будут использоваться для установки максимального времени бездействия или максимальной продолжительности сеанса.
- Выберите параметр Применить тайм-аут сеанса к клиентам, не являющимся обозревателями, чтобы применить тайм-аут сеанса к клиентам не на основе обозревателей (например, Outlook RPC/HTTP и ActiveSync).
Нажмите кнопку ОК три раза.
В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Примечание.
Когда Forefront TMG получает в пользовательском запросе настроенный URL-адрес выхода из приложения, он осуществляет выход пользователя из системы, удаляет файл Cookie проверки подлинности с клиентского компьютера и уведомляет об отзыве этого файла. Затем Forefront TMG отображает страницу выхода, которая сообщает пользователю об успешном выходе из системы. Непостоянные файлы Cookie удаляются с клиентского компьютера, когда все окна обозревателя закрываются (завершение процесса обозревателя) либо по окончании работы пользователя на данном компьютере. Постоянные файлы cookie остаются на компьютере после закрытия окон обозревателя и удаляются только по мере завершения работы пользователя. Также можно установить максимальное время бездействия на тот случай, если пользователь отойдет от компьютера и оставит обозреватель открытым и неактивным, чтобы срок действия файла cookie автоматически истек. Если выбраны постоянные файлы cookie, можно указать, где они используются: на общих либо частных компьютерах. Обратите внимание: при входе в систему пользователь указывает, с какого компьютера выполняется вход: общего или частного. Если, работая на общедоступном компьютере, пользователь не выходит из системы, файл cookie сеанса может использоваться следующим пользователем для доступа к опубликованным узлам. Эта угроза может быть устранена за счет отключения функции использования постоянных файлов cookie на общедоступных компьютерах. Постоянные файлы cookie позволяют пользователям открывать документы из служб Microsoft Windows SharePoint Services без повторного ввода учетных данных. Тем не менее рекомендуется использовать постоянные файлы cookie только на частных компьютерах. В качестве дополнительной меры предосторожности во избежание угроз безопасности, связанных с файлами cookie, рекомендуется создать процесс выхода, который будет удалять эти файлы, и сообщить сотрудникам о необходимости выходить из системы каждый раз, когда они отходят от общего компьютера. Процесс выхода должен запускаться по ссылке или нажатию кнопки на корпоративной веб-странице. По истечении тайм-аута сеанса клиенты должны войти в сеанс с использованием соответствующих учетных данных пользователей. При установке тайм-аута для проверки подлинности на основе форм рекомендуется, чтобы этот тайм-аут был короче, чем заданный опубликованным сервером. Если опубликованный сервер прекращает работу раньше компьютера Forefront TMG, пользователь может ошибочно предположить, что сеанс завершен. Это открывает злоумышленникам путь к использованию данного сеанса, который остается открытым до тех пор, пока пользователь не закроет его либо не истечет тайм-аут, заданный Forefront TMG в соответствии с настройкой параметров формы.

Примечание.

Когда Forefront TMG получает в пользовательском запросе настроенный URL-адрес выхода из приложения, он осуществляет выход пользователя из системы, удаляет файл Cookie проверки подлинности с клиентского компьютера и уведомляет об отзыве этого файла. Затем Forefront TMG отображает страницу выхода, которая сообщает пользователю об успешном выходе из системы.
Непостоянные файлы Cookie удаляются с клиентского компьютера, когда все окна обозревателя закрываются (завершение процесса обозревателя) либо по окончании работы пользователя на данном компьютере. Постоянные файлы cookie остаются на компьютере после закрытия окон обозревателя и удаляются только по мере завершения работы пользователя. Также можно установить максимальное время бездействия на тот случай, если пользователь отойдет от компьютера и оставит обозреватель открытым и неактивным, чтобы срок действия файла cookie автоматически истек.
Если выбраны постоянные файлы cookie, можно указать, где они используются: на общих либо частных компьютерах. Обратите внимание: при входе в систему пользователь указывает, с какого компьютера выполняется вход: общего или частного.
Если, работая на общедоступном компьютере, пользователь не выходит из системы, файл cookie сеанса может использоваться следующим пользователем для доступа к опубликованным узлам. Эта угроза может быть устранена за счет отключения функции использования постоянных файлов cookie на общедоступных компьютерах.
Постоянные файлы cookie позволяют пользователям открывать документы из служб Microsoft Windows SharePoint Services без повторного ввода учетных данных. Тем не менее рекомендуется использовать постоянные файлы cookie только на частных компьютерах.
В качестве дополнительной меры предосторожности во избежание угроз безопасности, связанных с файлами cookie, рекомендуется создать процесс выхода, который будет удалять эти файлы, и сообщить сотрудникам о необходимости выходить из системы каждый раз, когда они отходят от общего компьютера. Процесс выхода должен запускаться по ссылке или нажатию кнопки на корпоративной веб-странице.
По истечении тайм-аута сеанса клиенты должны войти в сеанс с использованием соответствующих учетных данных пользователей.
При установке тайм-аута для проверки подлинности на основе форм рекомендуется, чтобы этот тайм-аут был короче, чем заданный опубликованным сервером. Если опубликованный сервер прекращает работу раньше компьютера Forefront TMG, пользователь может ошибочно предположить, что сеанс завершен. Это открывает злоумышленникам путь к использованию данного сеанса, который остается открытым до тех пор, пока пользователь не закроет его либо не истечет тайм-аут, заданный Forefront TMG в соответствии с настройкой параметров формы.

См. также

Основные понятия

Публикация веб-серверов через HTTPS