Forefront TMG und verschaerfte Active Directory Kennwortrichtlinien fuer spezielle Gruppen

{ Posted on Jul 14 2011 by Marc Grote }
Categories : Marc Grote, TMG

Hallo Leutz,

Forefront TMG erlaubt die Verwendung von PraeAuthentifizierung in ausgehenden Firewallregeln und in eingehenden Webserververoeffentlichungsregeln, wenn der Forefront TMG Server Mitglied der Domaene ist oder bei der Verwendung von RADIUS (ein- und ausgehend) oder LDAP (Eingehend) wenn der TMG Server Mitglied einer Arbeitsgruppe ist. Active Directory verwendet bekanntlich Kennwortrichtlinien fuer Active Directory Benutzer, jedoch werden nicht in jeder Firmenumgebungen strikte Kennwortrichtlinien forciert. Um jetzt die Sicherheit des Systems fuer Benutzer, welche sich aus dem Internet ueber den TMG Server anmelden (z. B. fuer OWA/OA/VPN etc.) nicht zu unterminieren, waere es sinnvoll, im Active Directory eine restriktive Kennwortrichtlinie zu hinterlegen. Wenn das aber aus technischen / politischen Gruenden nicht moeglich ist, kann man mit den fein abgestuften Kennwortrichtlinien (FGPP = Fine Grain Password Policies) (ein Feature seit Windows Server 2008) fuer zusaetzliche Sicherheit sorgen, indem man fuer die Benutzergruppen, welche am Forefront TMG Server hinterlegt sind, staerkere Kennwortrichtlinien verwendet. Somit haben nur die Benutzer, welche sich von Extern anmelden, staerkere Kennwortrichtlinien, alle anderen internen Benutzer nicht. Link zur Einrichtung der FGPP: http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx Gruss Marc

Post a Comment

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.

*