Sicherheit
Im Blickpunkt: Die Windows-Firewall
Steve Riley
Kurz zusammengefasst:
- Eingehender Schutz – Ausgehender Schutz
- Die Windows-Filterungsplattform
- Die erweiterte Sicherheitsschnittstelle
- Netzwerkprofile
Damals in der Computersteinzeit hat sich noch niemand Gedanken über die Installation von Firewalls auf einzelnen Computern gemacht. Warum auch? Kaum jemand hatte vom Internet gehört, TCP/IP war noch meilenweit entfernt, und LAN-Protokolle reichten nur bis zur Gebäude- oder Campusgrenze. Wichtige Daten befanden sich auf
dem Mainframe oder den Dateiserver. Die Daten, die die Mitarbeiter auf ihren Desktopcomputern speicherten, waren selten unternehmenswichtig, und durch das bloße Gewicht des Computers war schon ein gewisser physischer Schutz vor Diebstahl gewährleistet. Falls dann doch eine Verbindung zum Internet verfügbar war, standen wahrscheinlich einige Protokollkonvertierungsprogramme im Weg, und am Rand des firmeninternen Netzwerks stand ein Paketfilterungsrouter (ich meine, eine „Firewall“), der in der Regel mit Unmengen an Regeln und Ausnahmen überkonfiguriert war.
Moderne Computerumgebungen haben nichts mehr mit diesen altertümlichen Zuständen gemeinsam. Alles und jeder ist jetzt mit dem Internet verbunden (und nutzt TCP/IP), und mobile Geräte sind zum Standard geworden. Ihr Arbeitgeber hat Ihnen wahrscheinlich einen Laptop zur Verfügung gestellt. Nicht gerade, weil Sie ihm besonders wichtig sind, sondern weil Sie die größtmögliche Leistung erbringen sollen: Es wird tatsächlich von Ihnen erwartet, dass Sie immer dann arbeiten, wenn Sie gerade einmal fünf Minuten Zeit haben und eine Wi-Fi-Verbindung besteht. Laptops kosten vielleicht mehr als Desktops, aber diese Investition macht sich durch die höhere Produktivität in jedem Fall bezahlt. Gerade diese Mobilität macht die Geräte so anziehend – sowohl für Sie selbst als auch für ungünstig gesonnene Zeitgenossen.
Denken Sie einmal darüber nach: Vergleichen Sie die Gesamtzeit, in der Ihr Laptop eingeschaltet und mit einem Netzwerk verbunden ist, mit dem Zeitraum, in dem der Laptop eine Verbindung zum Unternehmensnetzwerk besitzt. Wie hoch ist der prozentuale Anteil dieses Zeitraums an der Gesamtzeit? Bei durchschnittlichen Benutzern dürfte der Wert bei maximal etwa 20 Prozent liegen. Das bedeutet, dass sich mein Laptop nur 20 Prozent der Zeit sicher innerhalb der Grenzen des Microsoft-Unternehmensnetzwerks befindet, das durch die Verteidigungsanlagen am Netzwerkperimeter vor Angriffen von außen geschützt wird. Aber was ist mit den verbleibenden 80 Prozent der Zeit, wenn mein Laptop direkt mit dem Internet verbunden ist? (Und ich bin ziemlich oft mit dem gefährlichsten Netzwerk der Welt verbunden: das hoteleigene LAN bei einer Computersicherheitskonferenz!) Und wie sieht es mit der Zeit aus, in der eine Verbindung zum Unternehmensnetzwerk besteht? Was ist mit den Bedrohungen, die von anderen Computern in dieser Umgebung ausgehen?
Sicherheitseinrichtungen entwickeln sich als Antwort auf die Bedrohungen. Und manchmal viel zu langsam. Viren waren ein Clientproblem, weil die Benutzer untereinander Disketten ausgetauscht haben. Antivirenprogramme wurden daher zuerst für Clients geschrieben. Als dann E-Mails einen immer größeren Stellenwert erlangten und die Malware zu Würmern wurde, die sich auf die Verteilung per E-Mail verließen, wurden Antimalwareprogramme entwickelt und auf E-Mail-Gateways bereitgestellt. Mit der immer stärkeren Nutzung des Internet wurde die Malware zu Trojanern, und Antimalwareprogramme erhielten auf Internetzugangs-Proxyservern ihren Platz. An diesem etablierten Entwicklungspfad krittelt niemand herum.
Nun zu den Firewalls, und zwar mit derselben Logik. Gestern konnte eine Firewall am Netzwerkrand die Bedrohungen noch wirksam abwehren. Heute sind die Bedrohungen anders; sie sind höher entwickelt, und sie sind weiter verbreitet. Ganz zu schweigen davon, dass die Geräte und die Arbeitsverfahren bedeutend von der Vergangenheit abweichen. Auf vielen Computern sind vertrauliche Informationen lokal gespeichert, und diese Computer befinden sich geraume Zeit nicht im Unternehmensnetzwerk (also außerhalb des Netzwerkrands). Aus diesem Grund muss sich die Firewall zu einem individuellen Schutzmechanismus für einzelne Clients entwickeln. Lassen Sie sich nicht täuschen: Clientfirewalls sind nicht mehr optional. Um Ihre Computer vor Ihrem eigenen, firmeninternen Netzwerk und vor dem Internet zu schützen, sind Clientfirewalls unabdingbar.
Clientsfirewalls und Sicherheitstheater
Viele Benutzer wussten nicht einmal, dass die erste Version von Windows® XP eine Clientfirewall enthielt. Das ist nicht weiter verwunderlich, weil die Firewall standardmäßig deaktiviert war und hinter unzähligen Mausklicks begraben lag. Auf ihre eigene, verstohlene Weise trat die Firewall einfach in Erscheinung, ohne dass ihr Zweck näher beschrieben oder gar Anweisungen gegeben wurden. Aber es hat funktioniert. Wenn Sie diese Firewall aktiviert hätten, dann wären Sie vor Nimda, Slammer, Blaster, Sasser, Zotob und anderen schädlichen Elementen geschützt gewesen, die Ihren Netzwerkport mit unerwünschtem Datenverkehr überfluten wollen. In Anbetracht der Bedeutung, die der Clientschutz mittlerweile erlangt hat, ist die Firewall in Windows XP Service Pack 2 (SP2) standardmäßig aktiviert, wobei zwei Profile erstellt („Internet“ und „corpnet“) und die Aktivierung von Gruppenrichtlinien ermöglicht wurden.
Die Akzeptanz der Firewall in Windows XP SP2 durch die Benutzer wurde leider von zwei Hindernissen gebremst: Bedenken im Hinblick auf die Anwendungen und ein wahres Sicherheitstheater. Viele Benutzer fürchteten, dass ihre Anwendungen aufgrund der Firewall nicht mehr richtig arbeiten würden. Aufgrund des Designs der Firewall war dies aber nur selten der Fall. Die Firewall ließ den gesamten ausgehenden Datenverkehr vom Computer passieren; eingehender Datenverkehr, der keine Antwort auf eine vorangegangene ausgehende Anfrage war, wurde dagegen blockiert. Dieses Design würde nur dann eine Anwendung auf einem Client außer Gefecht setzen, wenn die Anwendung einen Abhörsocket einrichtet und auf eingehende Anforderungen wartet. Bei der Windows XP-Firewall waren einfache Konfigurationen von Ausnahmen für Programme oder Ports möglich (leider jedoch nicht durch Gruppenrichtlinien).
Das größere Abschreckungsmittel war das Sicherheitstheater, das die Hersteller anderer Clientfirewalls aufführten. Einige Benutzer waren der Meinung, dass das Design der Windows XP-Firewall (ausgehender Datenverkehr darf ungehindert passieren) keinen ausreichenden Funktionsumfang für eine Clientfirewall bot. Die Hersteller brachten das Argument vor, dass eine angemessene Clientfirewall den gesamten Datenverkehr blockieren sollte, also sowohl eingehend als auch ausgehend, wenn der Benutzer nicht speziell eine Berechtigung für diesen Datenverkehr erteilt hat.
Dieser Punkt ist eine nähere Überlegung wert. Zwei Szenarios zeichnen sich ab.
- Wenn Sie als lokaler Administrator angemeldet sind und Ihr Computer mit Malware infiziert ist, wird die Firewall durch diese Malware kurzerhand deaktiviert. Sie sind 0wn3d.
- Wenn Sie nicht als lokaler Administrator angemeldet sind und der Computer mit Malware infiziert ist, bewirkt die Malware bei einer Drittanbieterfirewall, dass ein Dialogfeld in einer fremden Sprache geöffnet wird, in dem zahllose Ports und IP-Adressen aufgeführt werden und dazu eine schwerwiegende Frage: „Möchten Sie dies zulassen?“ Die einzige Antwort ist selbstverständlich: „Ja, du dummer Computer, nerv mich nicht!“ Und sobald das Dialogfeld verschwindet, ist auch Ihre Sicherheit futsch. Eine andere, häufigere Situation: Die Malware entführt quasi eine vorhandene Sitzung eines Programms, das Sie bereits autorisiert haben. In diesem Fall wird nicht einmal das Dialogfeld geöffnet. Noch einmal: Sie sind 0wn3d.
Es gibt einen wichtigen Sicherheitsgrundsatz, den Sie sich verinnerlichen müssen: Der Schutz gehört zu der Ressource, die geschützt werden soll, nicht zu der Sache, vor der geschützt werden soll. Die richtige Vorgehensweise besteht darin, die schlanke und doch wirksame Windows-Firewall auf jedem Computer in Ihrem Unternehmen auszuführen, um so jeden einzelnen Computer vor sämtlichen Computern in der ganzen Welt zu schützen. Angenommen, Sie versuchen, ausgehende Verbindungen von einem Computer zu blockieren, der bereits infiziert wurde: Wie können Sie da sicher sein, dass der Computer wirklich das tut, was Sie wollen? Die Antwort: Gar nicht. Der ausgehende Schutz ist pures Sicherheitstheater. Ein Kniff, der Ihnen nur vorspiegelt, dass Ihre Sicherheit erhöht würde, ohne dass tatsächlich auch nur eine einzige Aktion zur Erhöhung dieser Sicherheit ausgeführt wird. Genau deshalb gab es keinen Schutz für ausgehenden Datenverkehr in der Firewall von Windows XP, und genau deshalb gibt es diesen Schutz auch nicht in der Firewall bei Windows Vista™. (Ich werde später noch ausführlicher über die Kontrolle für den ausgehenden Datenverkehr sprechen.)
Neues in Windows Vista
Die Windows-Filterungsplattform, ein Bestandteil des neuen Netzwerkstapels, bildet die Grundlage für die Firewall von Windows Vista. Wie Windows XP blockiert auch Windows Vista standardmäßig den gesamten eingehenden Datenverkehr. Abhängig vom Profil auf Ihrem Computer bestehen ggf. einige Standardausnahmen für Netzwerkdienste. (Die Profile werden später näher erörtert.) Nach Wunsch können Sie Regeln schreiben, mit denen eingehende Verbindungen zugelassen werden. Ebenso wie bei Windows XP ist bei Windows Vista standardmäßig der gesamte ausgehende Datenverkehr von interaktiven Prozessen zulässig, während der ausgehende Datenverkehr von Diensten, die an der Diensteinschränkung beteiligt sind, eingeschränkt wird. Wiederum können Sie Regeln schreiben, um damit weitere ausgehende Verbindungen zu blockieren.
Der große Unterschied zwischen Windows XP und Windows Vista liegt in der neuen erweiterten Sicherheitsschnittstelle und in der vollen Gruppenrichtlinienunterstützung für Konfiguration und Regeln (siehe Abbildung 1). Die bisherige Benutzeroberfläche der Systemsteuerung ist immer noch vorhanden und ist größtenteils unverändert, mit Ausnahme der Protokolleinstellungen und der ICMP-Einstellungen (Internet Control Message-Protokoll), die sich jetzt in der neuen Benutzeroberfläche befinden. Diese neue Benutzeroberfläche, das MMC-Snap-In für die erweiterte Sicherheit, bietet alle neuen Funktionen und sorgt für eine ganz neue Flexibilität. Für den Befehl „netsh“ gibt es außerdem den neuen Kontext „netsh advfirewall“, mit dem Sie Skriptregeln hinzufügen und löschen, globale und profilspezifische Richtlinien festlegen und abrufen und auch den aktiven Zustand der Firewall ermitteln. Und für Entwickler: „FirewallAPI.dll“ und „Netfw.h“ bieten die programmgesteuerte Kontrolle über sämtliche Einstellungen der Firewall.
Abbildung 1** Windows Firewall mit erweiterter Sicherheit **(Klicken Sie zum Vergrößern auf das Bild)
Das MMC für die erweiterte Sicherheit ist mit einem Assistenten ausgestattet. Beim Erstellen einer Regel können Sie unter vier Typen auswählen: Programm, Port, vordefiniert oder benutzerdefiniert. Diese Optionen sind in Abbildung 2 dargestellt.
Figure 2 Vier Arten von Regeln
| Typ | Zweck |
| Programm | Ermöglicht oder blockiert den Datenverkehr für ein bestimmtes Programm. |
| Port | Ermöglicht oder blockiert den Datenverkehr über bestimmte TCP- oder UDP-Ports. |
| Vordefiniert | Aktiviert den Windows-Funktionsumfang auf dem Netzwerk mithilfe einer Reihe bereits vorhandener Regeln (z. B. Datei- und Druckfreigaben oder Remoteunterstützung). |
| Benutzerdefiniert | Stellt alle Schaltflächen und Regler zur Verfügung, sodass Sie eine Regel ganz nach Ihren Wünschen konfigurieren können. |
Wenn Sie Regeln schreiben, können Sie auf viele Elemente verweisen, wobei alle Elemente sowohl für lokale Regeln verfügbar sind als auch für Regeln, die über Gruppenrichtlinien angewendet werden. Dazu zählen: Benutzer- und Computerkonten und -gruppen in Active Directory®, Quell- und Ziel-IP-Adressen, Quell- und Ziel-TCP-/-UDP-Ports, IP-Protokollnummern, -programme und -dienste, Schnittstelltypen (drahtgebunden, drahtlos oder Remotezugriff), ICMP-Typen und -Codes.
Sobald die Firewall konfiguriert ist, werden die Regeln in der folgenden Reihenfolge verarbeitet:
Diensteinschränkungen Ein Teil der Dienste in Windows Vista erlegt sich selbst gewisse Einschränkungen auf, um so die Wahrscheinlichkeit eines Blaster-Angriffs zu vermindern. Zu diesen Einschränkungen gehört beispielsweise eine Liste der Ports, die für den Dienst erforderlich sind. Die Firewall setzt diese Ports durch und sorgt dafür, dass der Dienst keinen anderen Port verwendet (und auch nicht zur Verwendung eines anderen Ports angewiesen wird).
Verbindungssicherheitsregeln Die MMC für die erweiterte Sicherheit umfasst sowohl IPSec als auch die Firewall. Als Nächstes werden sämtliche Regeln mit IPSec-Richtlinien verarbeitet.
Authenticated Bypass Hiermit sind die angegebenen authentifizierten Computer in der Lage, andere Regeln zu umgehen.
Blockierungsregeln Hiermit wird eingehender oder ausgehender Datenverkehr explizit blockiert.
Zulassungsregeln Hiermit wird eingehender oder ausgehender Datenverkehr explizit zugelassen.
Die Firewallregeln sind in der Registrierung gespeichert, aber ich verrate nicht, wo. Na schön, weil Sie es sind:
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRule
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System
Bearbeiten Sie die Regeln auf keinen Fall direkt in der Registrierung. Ansonsten finden wir Sie, und dann verkaufen wir Ihr Auto im Internet! Nein, keine Sorge, das machen wir nicht. Aber die einzige unterstützte Möglichkeit für die Bearbeitung von Regeln ist die MMC für die erweiterte Sicherheit.
Netzwerkprofile
In Windows Vista sind drei Netzwerkprofile definiert: Domäne, privat, öffentlich. Wenn der Computer einer Domäne angeschlossen ist und sich erfolgreich bei der Domäne angemeldet hat, wendet der Computer automatisch das Domänenprofil an. Sie können diese Auswahl nicht selbst treffen. Wenn der Computer eine Verbindung zu einem internen Netzwerk herstellt, das keine Domäne besitzt (z. B. ein Heimnetzwerk oder ein kleines Büronetzwerk), sollten Sie (oder ein Administrator) das private Profil anwenden. Sobald der Computer direkt mit dem Internet verbunden ist, sollten Sie dann das öffentliche Profil anwenden.
Wie entscheidet Windows Vista, wo Ihr Computer hingelangt? Wenn sich das Netzwerk ändert (das Netzwerk erhält eine neue IP-Adresse oder erkennt ein neues Standardgateway oder wird mit einer neuen Schnittstelle ausgestattet), wird diese Änderung im NLA-Dienst (Network Location Awareness) erkannt. Der Dienst erstellt ein Netzwerkprofil, das beispielsweise Informationen zu vorhandenen Schnittstellen oder die MAC-Adresse des Gateways enthält und aus dem auch hervorgeht, ob der Computer bei einem Domänencontroller authentifiziert ist, und weist diesem Profil eine GUID zu. Anschließend benachrichtigt der NLA die Firewall, und die Firewall wendet die zugehörige Richtlinie an. (Für jedes der drei Profile ist jeweils eine Richtlinie definiert.)
Wenn eine neue Schnittstelle vorliegt, die der Computer noch nicht erkannt hat, und wenn der NLA das Domänenprofil nicht ausgewählt hat, wird ein Dialogfeld geöffnet, in dem Sie aufgefordert werden, das Netzwerk anzugeben, zu dem eine Verbindung hergestellt werden soll. Interessanterweise stehen hier drei Optionen zur Auswahl: Privat, Arbeitsplatz, Öffentlich. Die Option für den Arbeitsplatz scheint dem Domänenprofil zu entsprechen; das stimmt allerdings nicht. Denken Sie daran: Das Domänenprofil ist für Sie nicht sichtbar, weil der NLA dieses Profil automatisch auswählt, sobald sich der Computer bei einer Domäne anmeldet. Sowohl „Privat“ als auch „Arbeitsplatz“ gehören zum privaten Profil. Praktisch sind diese Netzwerke gleichwertig, nur die Symbole sind anders. (Hinweis: Um das private Profil auswählen zu können, müssen Sie als lokaler Administrator angemeldet sein oder Ihre Berechtigung auf die Rechte eines lokalen Administrators zu erhöhen.) Wie zu erwarten war, steht „Öffentlich“ für das öffentliche Profil.
In Windows Vista gilt ein Netzwerkprofil für sämtliche Schnittstellen im Computer. Der folgende Überblick zeigt die NLA-Entscheidungsstruktur:
- Untersuchen Sie alle verbundenen Netzwerke.
- Ist eine Schnittstelle mit einem Netzwerk verbunden, das als öffentlich eingestuft ist? Wenn ja, aktivieren Sie das öffentliche Profil für den Computer, und beenden Sie den Dienst.
- Ist eine Schnittstelle mit einem Netzwerk verbunden, das als privat eingestuft ist? Wenn ja, aktivieren Sie das private Profil für den Computer, und beenden Sie den Dienst.
- Können alle Schnittstellen einen Domänencontroller erkennen, und wurde der Computer erfolgreich angemeldet? Wenn ja, aktivieren Sie das Domänenprofil für den Computer, und beenden Sie den Dienst.
- Ansonsten aktivieren Sie das öffentliche Profil für den Computer.
Das Ziel ist es, das Profil mit den größtmöglichen Einschränkungen auszuwählen. Allerdings gibt es hier zwei offensichtliche Nebeneffekte. Erstens: Wenn der Ethernet-Port des Computers mit dem corpnet verbunden ist und die drahtlose NIC mit dem Schnellrestaurant im Erdgeschoss verbunden ist, wählt der Computer das öffentliche Profil aus, nicht das Domänenprofil. Zweitens: Wenn der Computer direkt mit dem Internet (im öffentlichen Profil) oder mit dem privaten LAN (im privaten Profil) verbunden ist und Sie eine VPN-Verbindung zum corpnet herstellen, verbleibt der Computer jeweils im öffentlichen oder privaten Profil.
Was könnte dies bedeuten? Die Richtlinie der Firewall für das Domänenprofil umfasst Regeln für die Remoteunterstützung, die Remoteverwaltung, die Datei- und Druckfreigabe und vieles mehr. Wenn Sie mit diesen Regeln eine Remoteverbindung zu einem Client aufbauen möchten, kommen Sie nicht zum Ziel, wenn der Client ein anderes Profil ausgewählt hat. Aber keine Sorge: Sie können eigene Firewallregeln schreiben, mit denen Sie die jeweils notwendigen eingehenden Verbindungen zulassen, und diese Regeln dann ausschließlich auf VPN-Verbindungen anwenden. So können Sie die Clients selbst dann noch über das VPN verwalten, wenn sie sich nicht im Domänenprofil befinden.
Kontrollieren von ausgehenden Verbindungen
Weiter oben erwähnte ich, dass die normale Spielart für den ausgehenden Schutz in Clientfirewalls ein pures Sicherheitstheater ist. Eine bestimmte Spielart der Kontrolle für den ausgehenden Datenverkehr ist jedoch äußerst nützlich: die administrative Kontrolle bestimmter Datenverkehrsarten, die Sie auf keinen Fall zulassen wollen. Die Firewall in Windows Vista geht bei den Diensteinschränkungen bereits so vor. Die Firewall lässt die Kommunikation für einen Dienst nur über die Ports zu, die dieser Dienst explizit als notwendig meldet; alle anderen Aktivitäten des Dienstes werden blockiert. Und diesen Aspekt können Sie als Grundlage für weitere Regeln heranziehen, mit denen Sie bestimmten Datenverkehr gemäß der Sicherheitsrichtlinie Ihres Unternehmens zulassen oder blockieren (siehe Abbildung 3).
Abbildung 3** Assistent für neue eingehende Regeln **(Klicken Sie zum Vergrößern auf das Bild)
Angenommen, die Benutzer sollen einen bestimmten Instant Messaging-Client nicht ausführen dürfen. Sie können eine Regel erstellen (natürlich in den Gruppenrichtlinien), mit der Sie Verbindungen zu den Anmeldungsservern für diesen Client blockieren.
Bei dieser Methode gibt es allerdings einige Einschränkungen. Windows Live™ Messenger (früher als MSN® Messenger bezeichnet) kann sich beispielsweise bei verschiedenen Servern anmelden, und die Liste ändert sich ständig. Und wenn der Standardport 1863/Tcp blockiert ist, wird der Port 80/Tcp herangezogen. Eine Regel, mit der Windows Live Messenger von der Anmeldung bei den Anmeldungsservern abgehalten wird, wäre zu kompliziert und zudem ständig in Bewegung. Ich erwähne das, weil ich klarstellen möchte, dass die administrative Kontrolle des ausgehenden Datenverkehrs durchaus nützlich sein kann, aber auf keinen Fall einen Ersatz für die Richtlinien für Softwareeinschränkung darstellt, wenn Sie die strenge Kontrolle über die Software behalten wollen, die die Benutzern installieren und ausführen dürfen.
Schützen Sie Ihren Computer
Der Perimeter ist weg. Jeder Computer muss jetzt selbst die Verantwortung für den eigenen Schutz übernehmen. So wie Antimalwareprogramme vom Netzwerkrand zum Client gewandert sind, so müssen auch Firewalls vom Rand zum Client gelangen. Sie können sofort Gegenmaßnahmen ergreifen, einfach indem Sie die Firewall aktivieren, die Sie ohnehin schon installiert haben.
Ganz egal, ob auf Ihren Systemen noch Windows XP ausgeführt wird oder ob Sie schon auf Windows Vista umgestiegen sind: Die Windows-Firewall steht für alle Ihre Clients zur Verfügung und liefert dabei den Schutz, den Sie brauchen, um die Sicherheit innerhalb Ihres Unternehmens zu erhöhen, und das selbst dann, wenn Ihre mobilen Mitarbeiter Tausende von Kilometern vom Büro weg sind.
Weiterführende Informationen
- Windows Vista TechCenter: Erste Schritte mit der Windows-Firewall mit erweiterter Sicherheit
- Windows Vista TechCenter: Windows-Firewall mit erweiterter Sicherheit: Diagnose und Problembehandlung
- TechEd Europe-Präsentation von Steve Riley: Verbesserungen bei der Firewall von Windows Vista und bei IPSec
- The Cable Guy: Die neue Windows-Firewall in Windows Vista und Windows Server „Longhorn“
- Virtual Lab für Windows Vista-Firewall
Steve Riley ist ein erfahrener Sicherheitsstratege in der Microsoft Trustworthy Computing Group und beitragender Redakteur des TechNet Magazins. Er reist um die Welt, um auf Konferenzen Vorträge zu halten, und unterstützt Kunden dabei, Sicherheitsvorkehrungen zu treffen und zu verbessern. Sein neues Buch heißt Protect Your Windows Network (Addison-Wesley, 2005). Er ist zu erreichen unter steve.riley@microsoft.com.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.