Freigeben über

Konfigurieren der sicheren Abmeldung

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

So konfigurieren Sie die sichere Abmeldung

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Detailbereich auf die entsprechende Webveröffentlichungsregel, die die auf HTML-Formularen basierende Authentifizierung verwendet..

  3. Klicken Sie auf der Registerkarte Aufgaben auf Ausgewählte Regel bearbeiten.

  4. Geben Sie auf der Registerkarte Anwendungseinstellungen im Feld Abmelde-URL für veröffentlichten Server die Zeichenfolge ein, die im Abmeldelink auf der veröffentlichten Webseite verwendet wird, um eine Abmeldeanforderung zu kennzeichnen, z. B. "?Cmd=logoff" oder "logoff=1".

  5. Klicken Sie auf OK.

  6. Klicken Sie auf der Registerkarte Listener auf Eigenschaften.

  7. Klicken Sie auf der Registerkarte Formulare auf Erweitert.

  8. Unter Cookieeinstellungen können Sie einen Namen für das Cookie angeben, das Forefront TMG nach einer erfolgreichen formularbasierten Authentifizierung an den Client übergibt. In der Dropdownliste können Sie auswählen, ob Cookies auf allen Computern, nur auf privaten Computern oder niemals permanent sein sollen (sie sind dann nach Beendigung der Sitzung weiterhin auf dem Client vorhanden).

  9. Legen Sie für IP-Adresse des Browsers bei Cookieverifizierung ignorieren fest, ob Sie den Clients die Verwendung desselben Cookies von verschiedenen IP-Adressen aus gewähren möchten. Anforderungen von einem einzelnen Client können z. B. so wirken, als ob sie von verschiedenen IP-Adressen stammen, falls beispielsweise ein Lastenausgleich zwischen dem Client und Forefront TMG erfolgt.

  10. Wählen Sie unter Einstellungen für Clientsicherheit Folgendes aus:

    • Als maximale Leerlaufdauer behandeln, um ein Zeitlimit basierend auf der Leerlaufzeit des Clients festzulegen.

    • Als maximale Sitzungsdauer behandeln, um ein Zeitlimit basierend auf der Sitzungsdauer festzulegen. Anschließend können Sie Zeitlimits für öffentliche und private Computer angeben, die zum Festlegen der maximalen Leerlaufzeit oder der maximalen Sitzungsdauer verwendet werden.

    • Sitzungszeitlimit auf Nicht-Browser-Clients anwenden, um das Sitzungszeitlimit auf Clients anzuwenden, die nicht auf Browsern basieren (z. B. Outlook RPC/HTTP und ActiveSync).

  11. Klicken Sie dreimal auf OK.

  12. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

Hinweis

  • Wenn Forefront TMG die konfigurierte Abmelde-URL in einer Benutzeranforderung erhält, wird der Benutzer abgemeldet, das Cookie für die Authentifizierung vom Clientcomputer entfernt und festgehalten, dass das Cookie widerrufen wurde. Forefront TMG zeigt dem Benutzer anschließend die Abmeldeseite an, wodurch diesem mitgeteilt wird, dass die Abmeldung erfolgreich durchgeführt wurde.

  • Nicht permanente Cookies werden vom Clientcomputer entfernt, wenn alle Browserfenster geschlossen werden (wodurch der Browserprozess beendet wird) oder der Benutzer den Computer abmeldet. Permanente Cookies verbleiben auf dem Computer, nachdem das Browserfenster geschlossen wurde. Sie werden nur entfernt, wenn der Benutzer den Computer abmeldet. Sie können auch eine maximale Leerlaufzeit konfigurieren, damit das Cookie automatisch abläuft, wenn ein Benutzer den Computer verlässt und der Browser geöffnet und aktiviert bleibt.

  • Wenn Sie sich für die Verwendung permanenter Cookies entscheiden, können Sie angeben, ob diese auf öffentlichen oder privaten Computern verwendet werden sollen. Beachten Sie, dass der Benutzer beim Anmelden angibt, ob er sich von einem öffentlichen oder privaten Computer anmeldet.

  • Wenn sich der Benutzer auf einem öffentlichen Computer nicht abmeldet, kann das Sitzungscookie vom nächsten Benutzer für den Zugriff auf veröffentlichte Sites verwendet werden. Dieses Risiko kann vermieden werden, indem für öffentliche Computer keine permanenten Cookies aktiviert werden.

  • Verwenden Sie permanente Cookies, um das Öffnen von Dokumenten von Microsoft Windows SharePoint Services zu ermöglichen, ohne dass eine erneute Authentifizierung der Benutzer erforderlich ist. Es wird jedoch empfohlen, permanente Cookies nur auf privaten Computern zu aktivieren.

  • Eine weitere Möglichkeit zum Vermeiden von den Cookies zugeordneten Sicherheitsproblemen ist es, dass Sie ein Abmeldeverfahren erstellen, bei dem die Cookies entfernt werden. Außerdem müssen Sie die Benutzer im Unternehmen dahingehend schulen, dass sie sich jedes Mal abmelden, sobald sie einen öffentlichen Computer verlassen. Das Abmeldeverfahren sollte durch Anklicken eines Links oder einer Schaltfläche auf der Unternehmenswebseite ausgelöst werden.

  • Wenn eine Sitzung das Ende des Zeitlimits erreicht hat, müssen sich Clients erneut mit den entsprechenden Benutzerinformationen bei der Sitzung anmelden.

  • Wenn Sie ein Zeitlimit für die formularbasierte Authentifizierung konfigurieren, sollte das Zeitlimit als das Zeitlimit sein, das vom veröffentlichten Server auferlegt wurde. Wenn das Zeitlimit des veröffentlichten Servers vor dem von Forefront TMG überschritten wird, kann der Benutzer irrtümlicherweise annehmen, dass die Sitzung beendet wurde. Dies kann es Angreifern ermöglichen, die Sitzung zu nutzen, die geöffnet bleibt, bis sie vom Benutzer geschlossen oder das Forefront TMG-Zeitlimit überschritten wird, das in der Formulareinstellung konfiguriert wurde.

Verwandte Themen

Konzepte

Veröffentlichen von Webservern über HTTPS