Sonderbeitrag: Windows Server 2008

Richtliniengesteuerter Netzwerkzugriff mit Windows Server 2008

Ian Hameroff and Amith Krishnan

 

Kurz zusammengefasst:

  • Abwägung zwischen Netzwerkzugriff und Sicherheit
  • Richtliniengesteuerter Ansatz für Netzwerkzugriff
  • Neue Sicherheitstechnologien in Windows Server 2008

Es wurde viel geschrieben über das Verschwinden herkömmlicher Netzwerkumkreise, verursacht durch ein zunehmend mobiles Personal und die wachsende Vielfalt von Benutzern und Geräten, die

Zugriff auf die IT-Ressourcen einer Organisation benötigen. Um die Produktivität zu erhöhen, treiben Benutzer und Branchenbesitzer die Nachfrage nach einer Verbindungsfunktionalität an, die sowohl fließend als auch frei von aufwändigen Verfahren ist. Zu dieser komplexen Situation kommen zunehmende Belastungen durch Einhaltung gesetzlicher Bestimmungen, die sich entwickelnde Bedrohungslage und die Risiken, die mit der Dezentralisierung von Daten in Verbindung stehen, hinzu.

Dadurch sind Windows®-Administratoren zu einer schwierigen Gratwanderung hinsichtlich der Sicherheit gezwungen: Wie kann einfacher Zugriff auf Ressourcen unter Berücksichtigung stetig wachsender Informations- und Netzwerksicherheitsanforderungen gewährt werden.

Es mag keine einzelne Lösung für alle diese Herausforderungen geben, als Windows-Administratoren steht Ihnen jedoch eine Reihe von Tools zur Verfügung, mit denen Sie die Sicherheitsvorkehrungen (wie Edgefirewalls), die Sie bereits getroffen haben, optimieren können. Eine großartige Möglichkeit, das angemessene Verhältnis zwischen Zugriff und Sicherheit zu finden, ist der Übergang von herkömmlichen Konnektivitätsmodellen zu einem Modell, das den Netzwerkzugriff auf logischere, richtliniengestützte Weise zu definieren sucht.

Richtliniengesteuerter Ansatz für Netzwerkzugriff

Netzwerkressourcen

Richtliniengesteuerter Netzwerkzugriff versucht, die vorhandenen Einschränkungen, die bei einem alleinigen Verlassen auf Netzwerktopologieedges vorhanden sind, zu beseitigen. Können Sie zum Beispiel wirklich feststellen, dass ein Gerät vertrauenswürdig und für eine Verbindung mit den Servern autorisiert ist, die Ihre CRM-Anwendung (Customer Relationship Management) ausführen, nur weil es an einen Ihrer Ethernet-Switchports hinter der Unternehmensfirewall angeschlossen ist?

Stattdessen steuert das neue Modell Zugriffsentscheidungen durch Authentifizieren sowohl des Sicherheitsstatus des Geräts als auch der Identität des Benutzers, der den Zugriff anfordert, unabhängig vom Standort, an dem die Verbindung initiiert wird. Nach der Authentifizierung kann dann dasselbe Framework verwendet werden, um zu autorisieren, auf welche Informationen und Ressourcen zugegriffen werden kann.

Der Übergang von einem defensiven Ansatz zu einem verstärkt zugriffsgesteuerten Ansatz ist an eine Reihe von Voraussetzungen gebunden, unter anderem Mechanismen, die die Identität des verbindenden Hosts und Einhaltung von Richtlinien (Kompatibilität) überprüfen, eine vertrauenswürdige Benutzeridentität ausgeben und basierend auf diesen Attributen den Netzwerkzugriff dynamisch steuern können. Um die Verwaltung dieser Elemente zu vereinfachen, ist ein zentralisierter Richtlinienspeicher ebenfalls eine wichtige Komponente.

Die Annahme eines richtliniengesteuerten Ansatzes kann Ihnen helfen, eine Reihe potentiell verschiedenartige Netzwerkzugriffs- und Hostsicherheitssteuerungen in einer umfassenderen Lösung zusammenzuführen. Dies ermöglicht Ihnen wiederum das Festlegen von Grundregeln für den Netzwerkzugriff auf logischer Ebene oberhalb der Verbindungsstruktur, was herkömmliche bewährte Methoden für die Tiefenverteidigung weiterentwickelt.

Wenn ein Benutzer beispielsweise seinen Laptop mit dem Drahtlosnetzwerk der Organisation verbindet, kann das Gerät auf die Einhaltung der neuesten Sicherheitskonfigurationsanforderungen überprüft werden. Nachdem festgestellt wurde, dass der Laptop über alle aktuellen Antivirusupdates und wichtigen Sicherheitspatches verfügt und dass alle seine Endpunktsicherheitssteuerungen aktiviert sind – wie eine Hostfirewall – kann der Zugriff auf das Unternehmensnetzwerk gewährt werden. Wenn der Benutzer daraufhin versucht, auf eine Geschäftsanwendung zuzugreifen, kann die Kombination aus dem Integritätsstatus des Laptops und der Netzwerkidentität des Benutzers verwendet werden, um zu bestimmen, ob er autorisiert ist, auf die Ressourcen zuzugreifen, die die Anwendung hosten. Durch das Arbeiten auf dieser logischen Ebene oberhalb der physischen Netzwerkinfrastruktur können die Richtlinien fortlaufend durchgesetzt werden, selbst wenn der Benutzer von einer drahtlosen zu einer Kabelverbindung oder sogar einer Remotezugriffsverbindung wechselt.

Nach der Implementierung kann richtliniengesteuerter Netzwerkzugriff eine nahtlosere Verbindungsfunktionalität für Benutzer bieten, ohne die Sicherheit zu gefährden. Für Administratoren kann das Anheben der Netzwerkzugriffssteuerungen von Switchports oder Remotezugriffs-Gatewaykonfigurationen auf eine höhere Ebene eine einfachere Verwaltungsfunktionalität bieten. In beiden Fällen ist das Endergebnis erhöhte Produktivität und eine generelle Verbesserung der Integrität des Netzwerks der Organisation, selbst wenn die Netzwerke Hosts für Akteure mit unterschiedlichen Zugriffsrechten sind, wie z. B. Gäste, Hersteller, Partner und Mitarbeiter.

Wie bei jedem Sicherheitsprojekt besteht der erste Schritt bei der Implementierung von richtliniengesteuertem Netzwerkzugriff in der Entwicklung eines Satzes ganzheitlicher Betriebsrichtlinien. Dazu gehören normalerweise Richtlinien für Folgendes:

  • Wahrung der Gerätesicherheit – was bedeutet es für ein Gerät, in einwandfreiem Zustand zu sein?
  • Logische Netzwerkzoneneinteilung – wie trennen Sie nicht einwandfreie Geräte von autorisierten Geräten?
  • Informationsrisikoverwaltung – wie werden vertrauliche Daten klassifiziert und vor Angriffen geschützt?

Glücklicherweise ist eine Reihe von Richtlinienentwicklungsressourcen im Microsoft® TechNet-Sicherheitscenter (microsoft.com/technet/security) verfügbar.

Wenn Sie die Zugriffsrichtlinien entwickelt haben, müssen Sie Technologien auswählen, die diese problemlos verteilen und effektiv durchsetzen können. Für diesen Zweck benötigen Sie lediglich Windows Server® 2008. Das liegt daran, dass Windows Server 2008 nicht nur der bislang sicherste Windows Server ist. Er bietet Administratoren außerdem eine abgesicherte Sicherheitsplattform, die den Eckpfeiler einer richtliniengesteuerten Netzwerkzugriffslösung bilden kann. Die umfassende Liste neuer und verbesserter Features von Windows Server 2008 umfasst viele der Faktoren, die für die Implementierung von sicherem, richtliniengesteuertem Zugriff auf Ihr Netzwerk erforderlich sind und dabei helfen sicherzustellen, dass vertrauliche Informationen vor Angriffen geschützt sind.

Netzwerke der nächsten Generation

Den Kern der Netzwerksicherheitsverbesserungen in Windows Server 2008 bildet der TCP/IP-Stapel der nächsten Generation, eine wichtige Aktualisierung der Netzwerkfunktionälität und der damit verbundenen Dienste der Plattform. Neben der verbesserten Netzwerkleistung und der größeren Skalierbarkeit erhöht Windows Server 2008 die Sicherheit durch eine Reihe integrierter Netzwerkfeatures, die eine solide Grundlage für die richtliniengesteuerte Netzwerkzugriffslösung bieten.

Internetprotokollsicherheit (Internet Protocol security, IPsec) ist eines der Features, die in Windows Server 2008 erheblich aktualisiert wurden, damit es eine wichtige Rolle in einem richtliniengesteuerten Ansatz für den Netzwerkzugriff spielen kann. Es geht hier nicht um die Verwendung von IPsec als Tunneling- und Verschlüsselungsprotokoll, sondern um eine Nutzung seiner Host-zu-Host-Netzwerkauthentifizierungsfunktionen. Da IPsec in Schicht 3 arbeitet, kann es für die Durchsetzung von Netzwerkzugriffsrichtlinien für eine Reihe von Netzwerktypen genutzt werden.

Um die Implementierung IPsec-basierter Netzwerkzugriffssteuerungen zu vereinfachen, führt Windows Server 2008 eine Vielzahl von Verbesserungen und neuen Features ein, die auf eine Vereinfachung der Erstellung, Durchsetzung und Verwaltung von Richtlinien abzielen. Die Anzahl und die Typen verfügbarer IPsec-Authentifizierungsmethoden wurden beispielsweise erhöht. Dies wurde durch die Einführung des authentifizierten Internetprotokolls (Authenticated IP, AuthIP), einer Erweiterung des IKE-Protokolls (Internet Key Exchange, Internetschlüsselaustausch) erreicht. AuthIP bietet Ihnen die Möglichkeit, Verbindungssicherheitsregeln (ein anderer Name für IPsec-Richtlinien in Windows Server 2008) zu erstellen, für die sich kommunizierende Peers gegenseitig nicht nur mit Computeranmeldeinformationen erfolgreich authentifizieren müssen, sondern optional auch mit Benutzer- oder Integritätsanmeldeinformationen. Diese zusätzliche Flexibilität ermöglicht den Entwurf hochentwickelter logischer Netzwerke, ohne Ihre Switching- und Routinginfrastruktur aktualisieren zu müssen.

Windows-Firewall mit erweiterter Sicherheit

Die neue Windows-Firewall mit erweiterter Sicherheit baut auf den soeben beschriebenen IPsec-Features auf. Durch Kombination von IPsec-Verbindungssicherheitsregeln mit Firewallfiltern in einer einzigen Richtlinie fügt die neue Windows-Firewall eine weitere Dimension richtliniengesteuerten Netzwerkzugriffs hinzu: intelligentere authentifizierende Firewallaktionen.

Wie in Abbildung 1 gezeigt, stehen Ihnen drei Optionen für zur Verfügung, um zu definieren, welche Aktion ein eingehender oder ausgehender Firewallfilter ausführen soll: „Verbindung zulassen“, „Verbindung blocken“ und „Verbindung zulassen, wenn sie sicher ist“. Wenn „Verbindung zulassen, wenn sie sicher ist“ als Aktion ausgewählt wird, nutzt die Windows-Firewall die Host-zu-Host-Netzwerkauthentifizierungsfunktionen von IPsec, um zu bestimmen, ob ein Host oder ein Benutzer, der eine Verbindung anfordert, basierend auf der von Ihnen definierten Richtlinie zugelassen werden soll. Mit der Firewallregel können Sie festlegen, welche Benutzer, Computer und Gruppen die Verbindung herstellen dürfen. Es ist anzumerken, dass hierdurch eine zusätzliche Schutzschicht hinzugefügt wird, die vorhandene Zugriffssteuerungen auf Betriebssystem- und Anwendungsebene ergänzt.

Abbildung 1 Definieren authentifizierender Firewallregeln

Abbildung 1** Definieren authentifizierender Firewallregeln **(Klicken Sie zum Vergrößern auf das Bild)

Sie sollten inzwischen einen Einblick gewonnen haben, wie diese unterschiedlichen Netzwerksicherheitssteuerungen über eine zentralisierte Richtlinie zusammengeführt werden können, um den Netzwerkzugriff effizienter und skalierbarer zu verwalten.

Rückkehr zum CRM-Beispiel: Der Administrator könnte mit aktivierter Option „Verbindung zulassen, wenn sie sicher ist“ eine eingehende Regel für die Server entwerfen, die die CRM-Anwendung des Unternehmens ausführen (entweder über die ausführbare Datei des Programms oder Dienstports). Innerhalb derselben Firewallrichtlinie kann der Administrator angeben, dass nur Mitglieder der Gruppe „CRM Application Users“ eine Verbindung zu dieser Netzwerkanwendung herstellen können, wie in Abbildung 2 dargestellt. Wenn Sie dasselbe Konzept auf die gesamte Netzwerkkommunikation innerhalb aller verwalteten Computer auf Ihrem Netzwerk anwenden, haben Sie nun Ihrer richtliniengesteuerten Netzwerkzugriffsstrategie eine Server- und Domänenisolationsebene hinzugefügt.

Abbildung 2 Administratoren können basierend auf dieser Richtlinie angeben, wer eine Verbindung herstellen kann

Abbildung 2** Administratoren können basierend auf dieser Richtlinie angeben, wer eine Verbindung herstellen kann **(Klicken Sie zum Vergrößern auf das Bild)

Server- und Domänenisolation

Da es bei den meisten Organisationen eine zunehmende Anzahl von Gästen und anderen nicht verwalteten Geräten gibt, die eine Verbindung zu ihren Netzwerken herstellen, ist es umso wichtiger geworden, Ihre vertrauenswürdigen Hosts zu trennen und zu schützen. Die gute Nachricht ist, dass es viele Möglichkeiten gibt, vertrauenswürdige und verwaltete Computer von den anderen im Netzwerk zu isolieren. Sie sollten jedoch wissen, dass mit wachsenden Netzwerken viele dieser Optionen kostspielig (beispielsweise die Ausführung separater physischer Verkabelungssysteme) und schwer zu verwalten sind (wie switched-basierte VLANs).

Server- und Domänenisolation können eine kostengünstigere und besser verwaltbare Methode bieten, Ihre Umgebung in logisch isolierte und sichere Netzwerke zu unterteilen. Wie Abbildung 3 zeigt, verwenden Sie im Grunde die gleichen weiter oben erwähnten Verbindungssicherheitsregeln (d. h. die IPsec-Richtlinien), ordnen diese jedoch allen von Ihnen verwalteten Computern über Active Directory®-Gruppenrichtlinien zu. Dies hat eine Netzwerkzugriffsrichtlinie zum Ergebnis, die von allen Peers erfordert, sich untereinander erfolgreich zu authentifizieren, bevor die Kommunikation beginnt. Da diese Isolation in Schicht 3 stattfindet, beinhaltet die Durchsetzung dieser Zugriffssteuerungen Hubs, Switches und Router über physische und geografische Grenzen hinweg.

Abbildung 3 Definieren von Authentifizierungsanforderungen zur Anpassung an Ihre Netzwerkzugriffsanforderungen

Abbildung 3** Definieren von Authentifizierungsanforderungen zur Anpassung an Ihre Netzwerkzugriffsanforderungen **(Klicken Sie zum Vergrößern auf das Bild)

Um ein isoliertes Netzwerk zu erstellen, sollten die verschiedenen Computer im Netzwerk gemäß der Art des gewünschten Zugriffs getrennt werden. Richtlinien können so definiert werden, dass Computer in einem isolierten Netzwerk die Kommunikation mit allen Computern im Netzwerk initiieren können, einschließlich derer, die sich nicht im isolierten Netzwerk befinden. Umgekehrt können Computer, die sich nicht im isolierten Netzwerk befinden, keine Kommunikation mit Computern im isolierten Netzwerk initiieren. Tatsächlich ignorieren Computer im isolierten Netzwerk alle Kommunikationsanforderungen von Computern außerhalb des isolierten Netzwerks.

Eine Active Directory-Domäne und Domänenmitgliedschaft werden für die Durchsetzung der Netzwerkrichtlinie verwendet. Domänenmitgliedscomputer akzeptieren nur authentifizierte und sichere Kommunikation von anderen Domänenmitgliedscomputern. Optional kann auch gefordert werden, dass die gesamte Kommunikation innerhalb der isolierten Domäne verschlüsselt wird.

Server- und Domänenisolation bietet erhebliche Kostenvorteile, da an der vorhandenen Netzwerkinfrastruktur oder den Anwendungen keine wesentlichen Änderungen vorgenommen werden müssen. Diese Lösung bietet eine richtlinienbasierte Schutzschicht, der nicht nur die Abwehr kostspieliger Netzwerkangriffe und nicht autorisierter Zugriffe auf vertrauenswürdige Netzwerkressourcen unterstützt, sondern auch keine fortlaufende Wartung durch Änderungen in der Netzwerktopologie erfordert.

Netzwerkzugriffsschutz

Wie zuvor beschrieben, stellt die Server- und Domänenisolationslösung die logische Trennung der Computer und Server im Netzwerk sicher. Obwohl diese Lösung dabei hilft, nicht autorisierten Zugriff auf das Netzwerk zu verhindern, gibt es keine Garantie dafür, dass ein autorisierter Computer nicht die Ursache einer Sicherheitsbedrohung sein kann.

Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine integrierte Plattform in Windows Server 2008, die dabei hilft sicherzustellen, dass Computer, die eine Verbindung zu einem Netzwerk herstellen oder in einem Netzwerk kommunizieren, die von Ihnen festgelegten Systemintegritätsanforderungen (d. h. die Wahrung der Sicherheit und die Einhaltung von Richtlinien) erfüllen.

Selbst autorisierte Benutzer sind oft verantwortlich für die Verbreitung von Viren und Spyware im Netzwerk. Wenn ein Benutzer beispielsweise in Urlaub geht, könnte sein Computer den vom Administrator festgelegten Sicherheitsanforderungen nicht mehr entsprechen. Dies kann ernsthafte Folgen haben, wenn ein geforderter Patch oder eine Signatur, die während der Abwesenheit des Benutzers veröffentlicht wurden, nicht auf diesem Computer installiert werden.

Es geht weit über die verfügbaren Möglichkeiten eines Administrators hinaus, jeden Benutzer zu überwachen, der eine Verbindung zum Netzwerk herstellt. Hier wird ein automatisiertes Tool benötigt, das gemäß einer zentralen Richtlinie den Integritätsstatus jedes Computers, der eine Verbindung zum Netzwerk herstellt, überprüft, und diejenigen wartet, die gegen Richtlinien verstoßen. NAP tut genau dies, und fügt Ihrer richtliniengesteuerten Netzwerkzugriffslösung eine weitere Schicht hinzu.

Der NAP-Agent – entweder integriert in die Benutzeroberfläche des Clientcomputers (wie in Windows Vista®) oder separat installierbar (für ältere Versionen von Windows sowie Nicht-Windows-Betriebssysteme) – gibt alle Kompatibilitätsprobleme an den Netzwerkrichtlinienserver (Network Policy Server, NPS) weiter, bei dem es sich um das in Windows Server 2008 integrierte Richtlinienmodul handelt. Im NPS definieren Sie die Kompatibilitätsrichtlinien, die jedes Gerät erfüllen muss.

Obwohl es notwendig ist, Geräte einzuschränken, die Kompatibilitätsprüfungen nicht bestehen, ist es wichtig sicherzustellen, dass sie die Option haben, in Quarantäne gestellt oder gewartet zu werden. NAP bietet die Option, das Gerät in Fällen, in denen die Firewall oder Antiviruslösung eingeschaltet ist, entweder automatisch zu warten oder das Gerät manuell zu warten, indem es in eine Quarantänezone gezwungen wird. In diesem Fall hat das Gerät Zugriff auf einen Wartungsserver mit den neuesten Patches, Updates und Signaturen. Wenn der Benutzer das Gerät manuell aktualisiert hat, erhält es Zugriff auf das Netzwerk, vorausgesetzt, dass es die Kompatibilitätsüberprüfung besteht.

Mit der weiten Verbreitung wurde der Netzwerkzugriff sehr viel einfacher. Dies hat jedoch die zusätzliche Belastung zur Folge sicherzustellen, dass Geräte unabhängig von der Zugriffsmethode Integritäts- und Kompatibilitätsanforderungen erfüllen. Computer können auf das Netzwerk über einen regulären 802.1X-kompatiblen Switch oder Drahtloszugriffspunkt zugreifen, oder sie können eine Verbindung von einem Remotestandort aus mithilfe einer VPN- oder terminaldienstbasierten Remotezugriffsverbindung herstellen. NAP stellt nicht nur die Kompatibilität für Computer sicher, die über diese unterschiedlichen Methoden eine Verbindung herstellen, sondern bietet auch die Durchsetzung auf dem DHCP-Server, dem 802.1X-Switch, VPN-Gateway, Terminaldienstgateway oder 802.1X-kompatiblen Drahtloszugriffspunkt.

In Abbildung 4 wurde das Netzwerk bereits mithilfe der Server- und Domänenisolationslösung isoliert. Die Verwendung von NAP mit einem solchen isolierten Netzwerk bietet zusätzliche Vorteile, um eine Integritätskompatibililtät für Computer sicherzustellen, die eine Verbindung zum Netzwerk herstellen. Der Client sendet beim Start sein SoH (Statement of Health) an die Integritätsregistrierungsstelle (Health Registration Authority, HRA), bei der es sich um einen Zertifikatserver handelt. Die HRA gibt das SoH an den NPS zur Richtlinienüberprüfung weiter. Wenn das SoH gültig ist, stellt die HRA dem NAP-Client ein Integritätszertifikat aus, und der Client kann nun IPsec-basierte sichere Kommunikation mit sicheren Ressourcen initiieren. Wenn das SoH nicht gültig ist, teilt die HRA dem NAP-Client mit, wie der Integritätszustand korrigiert werden kann, und es wird kein Integritätszertifikat ausgestellt. Der NAP-Client kann keine Kommunikation mit anderen Computern initiieren, die ein Integritätszertifikat für IPsec-Authentifizierung erfordern. Der NAP-Client kann jedoch mit dem Wartungsserver kommunizieren, um wieder eine Kompatibilität zu erreichen.

Abbildung 4 Netzwerkzugriffsschutz mithilfe von IPsec-Durchsetzung

Abbildung 4** Netzwerkzugriffsschutz mithilfe von IPsec-Durchsetzung **(Klicken Sie zum Vergrößern auf das Bild)

Zusammenfassung

Obwohl diese neuen Features und Funktionen in Windows Server 2008 hier nur relativ oberflächlich behandelt wurden, ist es wichtig zu erkennen, wie jede Komponente auf der vorhergehenden aufbaut. Die Unterscheidung von der herkömmlichen Tiefenverteidigungsmethode ist auf das zugrunde liegende Richtlinienframework zurückzuführen, das Windows Server 2008 beispielsweise über die Active Directory-Gruppenrichtlinie bietet.

Dank dieser integrierten Funktionalität verfügen Sie über eine stabile Arbeitsgrundlage zur Definition und Bereitstellung einer richtliniengesteuerten Netzwerkzugriffslösung, ohne vorhandene Investitionen rückgängig machen zu müssen. Durch Anheben der Zugriffsentscheidung auf eine logischere, richtlinienbasierte Ebene können Sie den Balanceakt zwischen „einfachem Zugriff“ und „erhöhter Sicherheit“ meistern.

Microsoft hat eine Vielzahl von Leitfäden veröffentlicht, die sich mit den in diesem Artikel angesprochenen Technologiebereichen eingehend beschäftigen. Es wird empfohlen, zunächst diese Artikel und Schritt-für-Schritt-Anleitungen durchzusehen, um Erfahrung in Bezug auf den Einsatz der unterschiedlichen Features zu gewinnen. (Die Links in der Randleiste „Netzwerkressourcen“ können Ihnen bei den ersten Schritten helfen.) Erwägen Sie, jede Phase auf eine Art und Weise einzuführen, die eine stabile Grundlage für die nächste Phase bietet.

Erstellen Sie zum Beispiel einen Satz der authentifizierenden Firewallregeln für Ihre erfolgsentscheidenden Anwendungen, wie im Abschnitt „Windows-Firewall mit erweiterter Sicherheit“ dargestellt. Wenn Sie sich damit vertraut gemacht haben, erweitern Sie die Verbindungssicherheitsregeln zur Isolierung Ihrer Netzwerkdomäne, und fügen Sie NAP als weitere Schicht hinzu. Die Vorteile der Implementierung einer richtliniengesteuerten Netzwerkzugriffsstrategie können erheblich sein, denn sie helfen Ihnen unter anderem dabei, mit der sich ständig ändernden Welt unserer Unternehmensnetzwerke Schritt zu halten.

Ian Hameroff ist Senior Product Manager im Bereich „Security and Access Product Marketing“ bei Microsoft. Er ist verantwortlich für die Produktverwaltung und das Marketing der Windows Server-Plattform-Netzwerktechnologien. Ian Hameroff steht hinter der Markteinführungsstrategie für Windows Server-Netzwerkfunktionalität und -Lösungen mit dem Schwerpunkt auf wichtigen Sicherheits- und Netzwerkinitiativen wie z. B. Server- und Domänenisolation, skalierbaren Netzwerken und der Übernahme von IPv6.

Amith Krishnan ist Senior Product Manager im Bereich „Security and Access Product Marketing“ bei Microsoft und ist verantwortlich für Produktmanagement und Marketing für Windows Server-Netzwerkfunktionalität und Sicherheitsinitiativen wie z. B. Netzwerkzugriffsschutz und Sicherheit von Drahtlosverbindungen. Er entwickelt auch die Markteinführungsstrategie und treibt das Bewusstsein für diese Lösungen voran.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.