Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties
Bron: Reuters

Op Reuters wordt melding gemaakt van het feit dat Microsoft nieuwe beveiligingssoftware gaat verkopen. De softwaremaker uit Redmond gaat beveiligingssoftware voorge´nstalleerd op computers leveren en heeft daarvoor een akkoord bereikt met HP en Network Engines voor de nieuwe ISA-server, die later dit jaar beschikbaar zal worden gesteld. Met de introductie van deze producten gaat Microsoft de concurrentie aan met bedrijven als CheckPoint Software Technologies en SonicWall die reeds jaren security-toepassingen leveren. De software is naar Microsofts eigen zeggen ontworpen om 'out of the box' te werken zonder complexe installatie of configuratie. Volgens HP en MS slaagde men er in bepaalde gevallen zelfs in de software operationeel te krijgen op een Blade-server binnen de drie minuten. Volgens senior director Jonathan Perera is dit de eerste realisatie die volledig in het kader van het Trustworthy Computing Initiative thuishoort om software betrouwbaarder en veiliger te maken. ISA Server 2004, de belangrijkste software in deze toepassing, zal dit najaar beschikbaar worden gesteld en zal 1.499 dollar per processor per server kosten.

Computer security
Moderatie-faq Wijzig weergave

Reacties (78)

Denk dat ze hiermee doelen op een gestripte embedded versie van windows met als een doel ISA server draaien..
Hier komt practisch niks bij kijken om te configureren behalve de ISA software die waarschijnlijk als grotendeels voor geconfigureerd is..

Out-of-the-box kan in principe dan dus ook betekenen dat men gewoon een stuk hardware levert met ISA server embedded die op afstand met MMC te configureren is..

Dit is in feite een hardware firewall.. net als elke andere hardware firewall op een soort mini OS draait..
Ah fijn weer een hoop opmerkingen van mensen die ISA server niet kennen.

En het wordt niet gratis / als onderdeel van het OS geleverd. Het betreft hier een compleet systeem, dus Computer, OS en Firewall.
Hmmmm, dit klinkt heel erg als Microsoft's aloude techniek om in een klap een groot marktaandeel van concurrenten te 'stelen' - software standaard met het OS meeleveren ?

Tuurlijk, er valt heel wat voor te zeggen, standaard beveiligingssoftware, maar de dingen die ik tot nu toe van Microsoft heb gezien qua beveiliging waren niet zo heel erg veel soeps (zoals bijvoorbeeld de firewall) ...

Laat ze eerst maar eens een virusscanner standaard integreren in Outlook (Express) ... DAT zou schelen. :9
Nobel die virusscanner, maar laat ze het eens anders aanpakken, er zijn zat goede virusscanners op de markt, stel in dat Outlook alleen functioneert wanneer er een virusscanner actief is met een engine niet ouder dan 2 weken.

@ Dries_Aendekerk
Het gaat natuurlijk voornamelijk om de verbinding, oude e-mail raadplegen prima, maar niks verzenden of versturen, is misschien heel vervelend, maar zorgt wel voor meer vernatwoordelijkheid en awareness, en irritatie is alleen maar heel erg goed, hoe irritanter hoe sneller je er iets aan wil doen, kijk naar Xs4all: jij virus, jij geen internet, lekker pűh

@ Swaze, geheel met je eens, en geldt natuurlijk ook voor Mozilla/Thunderbird, Calypso, Eudora etc. etc.
Ik denk maar zo...Pak het probleem bij de bron aan.

Dus bijvoorbeeld dat 'geheime' project van Symantec (dat iedereen ondertussen wel kent) om virussen de wereld in te brengen.

Nu zijn er pas een stuk of 100 wormen, maar over een jaar, heb je ook gewoon Norton-Antiworm 2005 (voor 60 euro's ofzo)
En denk maar niet dat symantec GEEN wormen schrijft of nieuwe exploits onderzoekt. Zij zijn er bij gebaat dat er meer en meer wormen en virussen en spyware troep op de pc's komen.

En bij de bron aanpakken kan ook dit zijn:
-Gooi alle poorten op een pc dicht (behalve poort 80, en 110 (voor internet en inkomende mail) Dus ook poort 25 voor uitgaande mail dichtgooien!
Heb je poort 8080, 25 ofzo nodig, dan moet je die handmatig aanzetten. (bij het versturen)
Zo van..."Uw pc probeert een e-mail te versturen... mag dit? Ja of Nee? "
Op deze manier blokeer je de wildgroei van virussen en wormen. Je verstuurt normaal toch nooit meer dan 10 mailtjes per dag. En zo wel, dan maakt die paar keer "JA" clicken ook niet ook!

Ik was laatst bij iemand die had 40.000 geinfecteerde bestanden. Toen ik een antivirus programma installeerde, verzond het programma iedere minuut een 30 tal mailtjes.
(dat deed die dus ook toen de computer niet beveiligd was)

Maak een aparte laag (shell) in windows, waarin executables (waaronder exe's, zip's, jpg's txt's doc's etc. ) uitgevoerd kunnen worden, maar op het moment dat er een virus wordt geactiveerd, dat deze schil (shell) is afgeschermd van de rest van het systeem.
Op die manier kan een malafide bestand je systeem niet infecteren. De shell is dus een virtueel werkend operating system, dat los staat van je echte operating system.
(tegenwoordig goed mogelijk met de hoeveelheden geheugen die in de huidige pc's worden gedrukt)
Na goedkeuring wordt de virtuele shell geintegreerd met het werkelijke systeem.
Je kunt 80 en 110 ook standaard dicht gooien(buiten>binnen), want ik ga er niet vanuit dat de meeste mensen een weberveren mailserver draaien. Om het te bekijken zijn deze poorten namelijk niet nodig. Alleen moet je uitgaand wel wat meer open zetten.
Lijkt me nogal drastisch. Ik zou gewoon programmeren dat als de engine van de virusscanner ouder is als twee weken er gewoon een waarschuwingsvenster getoond wordt.

Wat doe je anders als je twee weken niet meer op het net kan (maar je wil toch even een oude e-mail raadplegen)? Of het abonnement op je virusscanner is verlopen en je hebt echt geen tijd op een nieuwe te halen? Of je virusscanner is niet compatibel met Outlook (= outlook kan de leeftijd van de engine niet detecteren). Of...
Laat ze eerst maar eens een virusscanner standaard integreren in Outlook (Express) ... DAT zou schelen
En dan weer overspoeld raken met rechtszaken omdat ze software standaard met het OS meeleveren?
Hmm, Ik vind dat je er wel van uit mag gaan dat een OS veilig is, dus als daar software voor nodig is, dan hoort die bij het OS. Lijkt me geen "extra feature" maar gewoon een primaire taak van het OS.
De vraag is natuurlijk, waar je de grens legt.
Ik vind het de taak van een OS om met beheerstools voor je systeem geleverd te worden (diskscanner, defragmenter, usage-tracker enzovoorts) maar bijvoorbeeld niet om een tekstverwrker mee te leverne (wordpad) of een hele reut met ongewenste multimedia onzin (media player, recorder, enzovoorts)

Over wat wel en niet bij het OS hoort wordt je het toch nooit eens met z'n allen. Zo zijn er bijvoorbeeld honderden zo niet duizenden Linux fans die boos zijn op Windows omdat het allerlij onzin installeert. Maar als ik een Suse of Mandrake installeer met het install wizardje wat er bij zit dan is de standaard ook "zoveel mogelijk teringzooi op je PC"... Ja, dat kun je uitzetten. Dat kan je echter met Windows ook. Dit hele onderwerp is puur subjectief en irrationeel.
Het gaat er natuurlijk om dat als je produkt A koopt, je ook verwacht dat het goed is. Dus niet dat je ook nog produkt B moet aanschaffen wegens de vele fouten die er in produkt A zitten.
Als bijv. de standaard netwerk services in een OS echt goed/veilig zouden zijn, zou je deze ook niet met een firewall af hoeven te schermen. Dit geld natuurlijk ook voor andere OS'en.
op aarsdeheus:
Dit hele onderwerp is puur subjectief en irrationeel.
probeer maar eens een windows zonder IE of WMP te installeren.
als je er nu vanuitgaat dat het verschill tussen de opbouw van het OS en de rechten binnen het OS primair aan de veiligheid bijdragen dan zijn we een stap verder.

onder administrator/beheerders rechten iets installeren (of als root) is gewoon normaal maar deze programma's draaien als root/admin van een systeem is bad practis

run as / sudo taken schelen heel veel. maar niemand doet dat omdat het te lastig is c.q veel programma's doet het niet eens als je de juiste rechten niet hebt zie bv een cd-brand prog/ games etc

natuurlijk zijn er wel veel voorbeelden dat het wel goed kan maar hoeveel tweakers/digibeten en andere computer gebruikers draaien alles als User (alleen in bedrijven is dit redelijk afgeschermd)

MS moet zich meer richten op de oorzaak van virussen/spam en dergelijke zoals privileges en dergelijke goed scheiden.

ze zouden bv een aparte login kunnen forceren voor het installeren van programma's maar het neit mogelijk moeten maken om onder die user in te kunnen loggen. scheelt hoop ge OH IMHO
Laat ze eerst maar eens een virusscanner standaard integreren in Outlook (Express) ... DAT zou schelen.
Waarom denk je dat Microsoft enige tijd geleden RAV Antivirus overgekocht heeft?? (Van GeCad software)
Software standaard met het OS meeleveren zeg je?

Je moet er wel voor betalen,
ISA Server 2004, de belangrijkste software in deze toepassing, zal dit najaar beschikbaar worden gesteld en zal 1.499 dollar per processor per server kosten.
mja ik denk niet echt dat je security software kan installeren zonder al te veel moeite en echte security kan verwachten.

onder 3 minuten installeren en draaiend hebben kan met elke firewall. hoe veilig is het, dat is een andere vraag.

daarbij is security voor elke server anders. een webserver zou ik bijvoorbeeld poort 80 open zetten. maar op een db server zou ik er niet over denken om deze poort open te houden (iis insecurity)
Als ze nu standaard alles dicht zetten en dan moet het toch mogelijk zijn om 1 poort binnen 3 minuten open te zetten.
Lijkt me redelijk logisch en niet echt een punt om daar nu zo'n ophef van te maken.
Ik heb het geluk dat ik gebruik maak van een Linux server incl ad filter en proxy en alles en kost helemaal niets. :-)
hele foute redenering. Iedereen zegt altijd dat linux en opensource helemaal niets kost. Mja daar ben ik het niet helemaal mee eens.

wat je bespaart aan geld verlies je op tijd. je bent veel langer bezig iets te doen op linux dan op windows. en daar betaal je dan wel voor (in tijd dan)

meestal zie ik gewoon dat ik veel beter af ben om windows te kopen (en programma's) dan om tijd te steken in linux. Bedenk soms wel dat je langer bezig bent met linux dan het je zou opleveren als je zou gaan werken en windows zou kopen.

bedenk maar, een beetje file server ben je gauw al een weekje zoet mee (samba, wat een ramp zeg)

kan ik beter gaan werken verdien je iets van 1000 euri en dan kan je voor 149 euri windows xp kopen. heb je nog 851 euri over.

en bedenk altijd tijd == geld! dat geld al helemaal in de commercie
Ik denk dat men ISA server hier onderschat. ISA server is een proxy/firewall combinatie met zeer veel mogenlijkheden. Natuurlijk werkt het oput of the box met een leuke wizzard maar dat betekend niet dat er verder niks an te tweaken valt. ISA server heeft zeer veel mogenlijkheden om verkeer wel of niet door te laten zo kiun je filteren op IP(range) of op poorten of een combinatie van bijde, rules kunnen gescheduled worden en zo heb je nog veel meer. Ik heb met de beta versie van ISA server 2004 gewerkt en ik vind dat het kwa functionaliteit toch zeer dicht in de buurt komt van een hardware matige firewall en als ik heel eerlijk ben vind ik de gebruiksvriendelijkheid van ISA server toch wel superieur aan die van linux firewalls of de meeste hardwarematige firewalls. Microsoft heeft hier dus een product neer gezet dat bijna net zo goed en functioneel is als commerciele hardwarematige firewalls maar kwa gebruiksvriendelijkheid veel makkelijker en sneller te configureren is waardoor je er dus flink wat tijd mee bespaard. Tijd = geld dus voor mij is de keuze erg snel gemaakt.
Het bedrijfsleven verwacht van je dat je op een minuut meer of minder let. Als ik bv een workstation heb die een storing heeft, dan is het eerst wat gekeken wordt of het binnen 15-20 minuten gefixed kan worden. Zo ja, wordt het gefixed, zo nee, dan gaat er rucksichtlos een nieuw image overheen. Tijd is geld. Veel geld. En met het uurloon wat mijn baas voor mijn diensten vraagt, wil wil mijn opdrachtgever niet dat ik tijd zit te verprutsen als het niet nodig is.

Dat gezegd hebbende, Linux hoeft niet meer tijd te kosten dan Windows, als je weet waar je mee bezig bent. Al zie ik eerlijk gezegd niet wat Linux in deze discussie moet. Het is een pakket wat MS aanbied, geen OS. Binnen het bedrijfsleven accepteren ze geen iptables hobby firewalletje. Dus een discussie over deze nieuwe ISA en CheckPoint FW-1 is meer op zijn plaats dan het eeuwige geneuzel over Windows-Linux.
Als jij op een minutje meer of minder zit te kijken dan ben jij heel erg fout aan het redeneren.

Dat er in 3 min een firewall geinstalleerd kan worden, nou dat boeit mij dus ff helemaal geen reet. Ik wil dat ding helemaal aanpassen op mijn wensen. En out of de box is dus helemaal is dus helemaal niet toepasselijk. Misschien voor de huis tuin en keuken bedrijven die een netwerkje van 3 pctjes wil beschermen tegen de huis tuin en keuken hacker.

Nou echt niet boeiend dus en verwacht dus ook niet dat dit op de eerste de beste grote server gaat draaien bij bedrijven. Die maken toch wel gebruik van hardwarematige firewalls die op eerste moment toch best wel veiliger zijn dan dit ISA servertje.

Verder is de server ook afhankelijk van de veiligheid van het windows systeem, de IP stack van het Windows TCP/IP protocol en de intelligentie van de IT staf. Heelveel dingen dus. Ik wil het eerst zien dan praten we wel weer verder!
"Op het moment dat ik als gebruiker de firewall kan instellen, kan een stukje code dat dus ook. Inherent onveilig dus."

Dan moet dat stukje code wel eerst door de firewall heen om aan de binnenkant te komen om te worden uitgevoerd.
linux is helemaal niet trager in gebruik. tis maar net wat je gewend bent. voor jou is windows nu nog makkelijker, omdat je dat altijd gewend bent, maar als je al jaren terug linux was gaan gebruiken was linux nu net zo makkelijk (of misschien zelfs makkelijker) als windows.
Linux is in die zin trager dat als je wat wilt dat je fijn een config file mag gaan maken, modules compilen etc. Een windows firewall zoals isa server installeer je, je loopt de wizzard eventueel door en gaat daarna alle configuratie pagina's af en tweakt eventueel nog het 1 en ander. Zo heb je dus in 15 minuten een firewall draaien.
Leuk bedacht, maar WindowsXP vliegt uit het hoesje, direct in de CD en installeert en configureert zichzelf? Daarna is userbeheer niet te doen onder Professional.

Daarnaast zijn er omgevingen op Samba gebaseerd die zeer eenvoudig te installeren/configureren zijn (denk o.a. aan E-Smith in 15min ge´nstalleerd en geconfigureerd).

Tot slot is het altijd leuk om te vermelden dat Samba beter lijkt te presteren dan Windows Filesharing/-server.
reden des te meer naar mijn idee om voor linux te kiezen juist. bij linux heb je nog de mogelijkheid uitvoerig te tweaken. dit is dus niet het geval in windows.
dus om alle specifieke details te leren kost je inderdaad veel tijd maar daarintegen deze mogelijkheid bied linux nog.
shorewall bijv. heb je onder linux in minder dan een minuutje geinstalleerd net zoals een windows firewall. maar in tegenstelling dat je bij windows de mogelijkheid hebt tot aan/uit kun je met shorewall dus alles specifiek bepalen. is toch geweldig imo?
@blade181
het ligt er natuurlijk aan wat het budget is van de bedrijven. Je moet maar eens de nsa documenten doorkijken, daar raden ze iets van 3 firewalls aan. Hardware firewalls zijn niet echt goedkoop, en daarbij een extra firewall zal zeker het wel moeilijker maken voor iemand om in te breken, daar hoef je je geen zorgen om te maken.

@gridfox

onderhoud van windows workstations hoeft niet heel moeilijk te zijn. je kan terminals gebruiken zoals op unix, er zijn ook andere oplossingen.

@n4m3l355

dus de firewall in windows xp is niet in te stellen... mja heb je toch echt een andere versie van windows xp dan ik.

@afterburn

mijn reactie was eigenlijk ook meer bedoelt voor de thuisgebruiker, die eigenlijk gewoon geen tijd/zin heeft om er aant e kloten, maar is zeker nog wel geldig in het bedrijfsleven en inderdaad willen ze in het bedrijfsleven een compleet pakket, maar dat kan een bureau ook natuurlijk levern voor linux :) het is maar wat je een pakket noemt natuurlijk :)
Op het moment dat ik als gebruiker de firewall kan instellen, kan een stukje code dat dus ook. Inherent onveilig dus.

Dus moet je de boel zo instellen dat een gewone gebruiker de regels niet aan mag passen, enkel de administrator. Maar dan is het niet simpel meer om even een snel een poort open te gooien.
@Pietje de Pukkelaar
je maakt het wel heel simplistisch. Ten eerste wordt een user gezien als iets anders dan een process door het os. Op een process restricties. op een user ook natuurlijk maar processes hebben ook een eigen geheugen ruimte etc...

om te zeggen dat als een user iets kan dat een process het ook meteen kan is erg kort door de bocht.

dat zou ongeveer hetzelfde zijn als zeggen dat als een administrator iets kan dat een user het ook kan.
Dan moet dat stukje code wel eerst door de firewall heen om aan de binnenkant te komen om te worden uitgevoerd.
met de noobs achter de pc's van tegenwoordig?

geen prbleem, mailtje met klick here to....


en in een bedrijf zitten er ook noobs (eg boekhoudkantore)
Dan moet die boekhoud n00b wel administrator rechten hebben, he?

Heeft ie dat dan houdt het op, dat geld voor ieder OS en iedere firewall, als je amateurs daarmee laat spelen gaat het mis en dan maakt het niet uit wat voor OS je draait.
ISA Server 2004, de belangrijkste software in deze toepassing, zal dit najaar beschikbaar worden gesteld en zal 1.499 dollar per processor per server kosten.
Dit is de standaard versie. De Enterprise versie zal rond de $6000 per processor komen te liggen, en komt pas tegen het einde van het jaar uit.
voor die prijs kan ik elk systeem dichtmaken, veeeeel goedkoper zelfs. dus vind die prijs toch wel 70% te hoog.
Geloof mij maar, als je ISA2004 op een doos installeert (de beta althans), komt er default geen pakketje meer in of uit behalve ICMP..
Da's prachtig, maar voor een server heb je daar dus geen reet aan, want die moet serven, toch?
Het hele out-of-the-box, alles werkt gelijk verhaal geloof ik niet in. Dingen gaan nu eenmaal niet vanzelf werken en beveiliging zeker niet. Dat moet gewoon geregeld worden door iemand met kennis van zaken, volgens mij.
Uh, beetje onzin vind je niet?

Security guidelines zeggen "alles dicht zetten en alleen openen wat nodig is".
Ik begrijp dus dat bij jou een firewall alles open heeft staan en dat jij dan alles gaat dicht zetten behalve wat je nodig hebt?
Volgens jou, Volgens Microsoft blijkbaar niet :+
Er staat dat er geen complexe installatie of configuratie nodig is, dus lijkt mij dat het standaard aan staat en hoeft het geen probleem te zijn voor de gemiddelde huisvrouw
@Tuxie:
Ik merk alweer aan je naam en reactie dat jij gewoon weer anti-microsoft wilt flamen. Je weet waarschijnlijk ook totaal niet waar je het over hebt. Heb jij ooit een windows 2003 server geinstalleerd? Die functioneerd ook out of the box maar dat betekend niet dat die onveilig is of dat alles open staat want standaard staat echt alles dicht. Ga voor de lol maar eens met IIS6 aan de gang en probeer daar maar eens wat exotische dingen mee uit dat gaat je niet zomaar lukken omdat dat gewoon allemaal npotdicht zit en je dus echt zelf dingen open moet gaan zetten wil je meer functionaliteit. Dit omdat ze je zo laten nadenken over wat je open zet en dat je dus ook zelf weet wat er open staat. Een ander voorbeeld is dat als je nu ISA server 2000 zou installeren dat je ook niet zomaar internet op kan maar dat je dus ook eerst allerhande rules moet gaan instellen.
De software is naar Microsofts eigen zeggen ontworpen om 'out of the box' te werken zonder complexe installatie of configuratie.
Hoef je het ding niet te configureren of valt er helemaal niks aan te configureren ?
En wat dan als 't ding niet doet wat je wilt ?
waarschijnlijk is het systeem out of the box al redelijk veilig en bijhoorlijk dicht gegooid
daarna kan je de configuratie nog verder aanpassen om het veiliger te maken en meer geschikt voor je wensen

meestal is het met deze dingen zo dat ze voorgeconfigureert zijn maar wel aan te passen indien nodig
Ruik ik hier niet werkende software waarna een boel mensen zoiets hebben van... "Laat ik maar es beginnen met alle vinkjes uit te zetten..."
waarschijnlijk wel ja, maar vergeet niet dat een server zo veilig is als hij geinstalleerd is.
en dan heb ik hier meer vertrouwen in dan een n00b die eventjes een *nix/windows server installeert
beter dat iets standaard al veilig is en onveilig gemaakt kan worden dan standaard onveilig is en veilig gemaakt moet worden
MS die beveiliging levert... waarom krijg ik daar toch jeuk van?
Omdat voor velen hier de naam Microsoft ongeveer gelijk staat met slecht, duivels, stout, gemeen.....

Erg hoog "Mama, Jantje plaagt me" gehalte, zoals gewoonlijk kan MS weer niets goeds doen? Als jij jeuk krijgt, moet je eens achter je scherm vandaan komen en onder de douche stappen, misschien helpt dat......
MS die beveiliging levert... waarom krijg ik daar toch jeuk van? :)

Maar gaan ze nu weer dezelfde fout maken als met IE en mediaplayer? Een product maken wat de concurrent al maakt, en dan gratis meeleveren met het OS. Dan vraag je toch om rechtzaken.
Nou, ik vind dit nogal een verschil.. Volgens mij gaat dat artikel gewoon over appliances.. niets raars aan toch? Ze hebben het ook over Checkpoint appliances, etc..

Cisco levert toch ook al jaren IOS als software bij hun routers?
@vinny_142
Het word niet standaard meegeleverd als je het os koopt zoals IE en MP.
Ze hebben een akkoord gesloten met HP en NE om het op de ISA-servers die zij leveren te installeren. Dus ze integreren het niet in het OS zoals de eerder genoemde IE en MP.
ISA is leuk als proxy (maar doet onder voor squid),... maar welk zichzelf respecterend bedrijf gebruikt het in godesnaam als firewall? Hier zijn veel betere "bewezen" methodes voor,... ik noem een Nortel of Cisco. Deze producten en hun ontwikkelaars hebben jaren ervaring met beveiliging, terwijl microsoft pas sinds de blaster worm beseft dat er grote risico's aan RPC e.d. hangen. Leuk hoor dat ze ipjes gaan filteren, maar dat kan je al met windows 2000 standaard.

@TheRob: Helmaal mee eens,.... laat ik mijn firewall baseren op de meest onveilige database die ik kan vinden,..... lekker functioneel.

Je ziet het zo vaak bij vooral kleinere bedrijven dat ze ISA op hun productie server instaleren. Bij de eerste de beste windows bug crashed het ISA proces en "Hello World"

ISA? Nee dank je

edit:
typo gecorigeerd

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True