Compartir a través de

Configurar el cierre de sesión seguro

  • Artículo

Publicada: noviembre de 2009

Se aplica a: Forefront Threat Management Gateway (TMG)

Para configurar el cierre de sesión seguro

  1. En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.

  2. En el panel de detalles, haga clic en la regla de publicación de web correspondiente que utiliza autenticación basada en formularios HTML.

  3. En la ficha Tareas, haga clic en Editar regla seleccionada.

  4. En la ficha Configuración de aplicaciones, en el campo Dirección URL de cierre de sesión de servidor publicado, escriba la cadena que se utiliza en el vínculo de cierre de sesión de la página web publicada para indicar una solicitud de cierre de sesión; por ejemplo, ?Cmd=logoff, o logoff=1.

  5. Haga clic en Aceptar.

  6. En la ficha Escucha, haga clic en Propiedades.

  7. En la ficha Formularios, haga clic en Opciones avanzadas.

  8. En Configuración de cookies puede proporcionar un nombre para la cookie que Forefront TMG proporciona al cliente cuando la autenticación basada en formularios es correcta. En la lista desplegable puede seleccionar si las cookies son permanentes (siguen presentes en el cliente tras el final de la sesión) en todos los equipos, sólo en equipos privados o nunca.

  9. En Omitir la dirección IP del explorador para la comprobación de cookies, defina si desea permitir que los clientes utilicen la misma cookie desde distintas direcciones IP. Por ejemplo, puede parecer que las solicitudes de un único cliente proceden de distintas direcciones IP, como cuando existe un equilibrio de carga entre Forefront TMG y el cliente.

  10. En Configuración de seguridad del cliente, seleccione:

    • Considerar como tiempo máximo de inactividad, para establecer un período de espera según el tiempo que el cliente permanezca inactivo.

    • Considerar como duración máxima de la sesión, para establecer un período de espera según la duración de la sesión. A continuación, especifique los períodos de espera para los equipos públicos y privados, que se utilizará para establecer el tiempo máximo de inactividad o la duración máxima de la sesión.

    • Aplicar tiempo de espera de sesión a clientes no de explorador, para aplicar el período de espera a los clientes que no estén basados en explorador (como Outlook RPC/HTTP o ActiveSync).

  11. Haga clic en Aceptar, haga clic de nuevo en Aceptar y vuelva a hacer clic en Aceptar.

  12. En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.

Nota

  • Cuando Forefront TMG recibe la dirección URL de cierre de sesión configurada en una solicitud de usuario, cierra la sesión del usuario, quita la cookie de autenticación del equipo cliente y anota que la cookie se ha revocado. A continuación, Forefront TMG presenta la página de cierre de sesión al usuario, lo que indica que el cierre de sesión se ha realizado correctamente.

  • Las cookies no permanentes se eliminan del equipo cliente cuando se cierran todas las ventanas del explorador (lo que finaliza el proceso del explorador) o cuando el usuario cierra la sesión en el equipo. Las cookies permanentes permanecen en el equipo después de cerrar la ventana del explorador y sólo se eliminan cuando el usuario cierra la sesión en el equipo. También puede configurar un tiempo máximo de inactividad de forma que, si un usuario abandona un equipo y deja el explorador abierto e inactivo, la cookie expira automáticamente.

  • Si selecciona utilizar cookies permanentes, puede especificar si se utilizan en equipos públicos o privados. Tenga en cuenta que, al iniciar una sesión, el usuario indica si lo hace desde un equipo público o privado.

  • En un equipo público, si el usuario no cierra sesión, el siguiente usuario puede utilizar la cookie de sesión para obtener acceso a sitios publicados. Esta amenaza se puede mitigar no habilitando cookies persistentes para equipos públicos.

  • Utilice cookies permanentes para permitir la apertura de documentos desde Microsoft Windows SharePoint Services sin que los usuarios tengan que proporcionar credenciales de nuevo. No obstante, se recomienda habilitar cookies permanentes únicamente en equipos privados.

  • Como medida adicional para evitar problemas de seguridad asociados a las cookies, se recomienda crear un proceso de cierre de sesión que elimine las cookies y acostumbrar a los usuarios corporativos a cerrar la sesión cada vez que abandonen un equipo público. El proceso de cierre de sesión debe activarse al hacer clic en un vínculo o en un botón de la página web corporativa.

  • Cuando una sesión llega al final del período de espera, los clientes tienen que iniciar la sesión con sus credenciales de usuario.

  • Se recomienda que, al configurar el período de espera para la autenticación basada en formularios, el período de espera sea inferior al impuesto por el servidor publicado. Si el servidor publicado agota el tiempo de espera antes que Forefront TMG, el usuario puede creer (equivocadamente) que la sesión ha finalizado. Esto podría permitir a un intruso usar la sesión, que permanecería abierta hasta que el usuario la cerrara activamente o hasta que Forefront TMG superara el tiempo de espera (según lo configurado en el formulario).

Temas relacionados

Conceptos

Publicar servidores web a través de HTTPS