Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Bron: C|Net

Windows Vista (kleinerder)Op aandringen van grote bedrijven en overheidsinstellingen heeft Microsoft besloten de helft van de firewall in Windows Vista standaard uit te schakelen. Waar Windows XP is voorzien van een firewall die standaard de ongevraagde inkomende pakketten tegenhoudt, zal Windows Vista beschikken over een digitale muur die zowel inkomende als uitgaande paketten zal kunnen tegenhouden. Een firewall die uitgaand verkeer blokkeert, houdt standaard alles tegen en laat alleen datgene door waar expliciet toestemming voor gegeven is. Volgens Microsoft is dat echter iets wat niet eenvoudig is te doen, zeker niet in grote organisaties waar veel verschillende services draaien op een groot aantal poorten, en is daarom besloten het uitgaande gedeelte van de firewall uit te schakelen. Overigens kan hij handmatig of via policy's ook weer worden ingeschakeld om het uitgaande verkeer te regelen. Out-of-the-box is de firewallbeveiliging van Windows Vista dus vrijwel gelijk aan die in Windows XP.

Moderatie-faq Wijzig weergave

Reacties (50)

Zonde.
Dan maken ze een x-aantal versies van Vista.
Dan zou ik zeggen, in de bedrijfsversies, zet het daar dan in uit, maar laat het voor de thuis gebruikers gewoon aanstaan. Scheelt een hoop ellende.
oke het is wel wennen wellicht voor wat mensen, maar uit eindelijk word het er wel weer wat veiliger door op internet.
In een bedrijf met een beetje netwerkbeheerder is de windows firewall zowizo overbodig als je het mij vraagt.
Onzin. Bij een bedrijf wil je tegenwoordig een gelaagde beveiliging hebben. Enkel een firewall tussen de internet verbinding en het interne netwerk werkt niet (meer).

Zo is er het probleem dat mensen een besmette USB stick in een computer kunnen stoppen of een (thuis) besmet notebook in het netwerk kunnen prikken. Deze systemen kunnen dan alsnog de rest van het netwerk besmetten.Een firewall op elke computer is dus eigenlijk niet meer te vermijden. De vraag is meer of je third party gaat of op Microsoft vertrouwd. Maar een firewall is noodzakelijk

Wel kun je je afvragen hoe ver je moet gaan. Moet elke computer ook ongewenst uitgaand verkeer tegenhouden of beveilig je enkel tegen aanvallen van anderen. Microsoft kiest hier voor gebruikersvriendelijkheid. Op zich voor het overgrote gedeelte van de gebruikers een goede keus al weet ik zeker dat deze keuze hier op tweakers continue de grond in geboord zal worden. Maar ja, das logisch.
Onzin. Bij een bedrijf wil je juist niet je "veiligheid" (deels) laten afhangen van de Windows firewall, of iets anders wat op een (in principe "zwakke") client PC draait. Daar scherm je je netwerken af dmv. VLAN's icm. ACL's, samen met de bedrijfsfirewall.
Systeembeheerders gaan er misshien te makkelijk over denken met dit soort foefjes. Aan de andere kant is extra beveiliging nooit weg. Ook hebben bedrijven meestal een DMZ en die is vaak wel goed geregeld of zelf Windows-loos.
Ook is het zo dat uitgaand verkeer bijv. via poort 80 haast niet is tegen te houden. Er kan altijd informatie weglekken van malware software. Productiviteit kan misschien wel worden verhoogd als men telkens op OK moet klikken als ze weer eens random zitten te surfen en het daarna zo irritant vinden dat ze het opgeven.
Natuurlijk moet je de clients ook beschermen... Het is zo gebeurd dat 1 computer je hele netwerk besmet achter je "beschermende" firewall....

Daarnaast kun je de huidige windows firewall ook al via policies centraal configureren. Dat maar weinig windows beheerders hier de moeite voor nemen.. ach...
Arfman heeft duidelijk ervaring met enteerprises. In elk geval niet met het MKB waar je heel het woord VLAN alleen tegenkomt als iemand iemand van de commercie afdeling een draadloos netwerk bedoeld en ergens een kreet gehoord heeft. ACLs? Ga jij in een MKB omgeving waar je vaak nog met ouwe muk van voor de groei te maken hebt maar eens lekker een perfect netwerkje bouwen. Vergeet je Windows 95 PCs niet.

Nee, die client firewall is prima. Aanlaten en configureren. Je moet alleen niet *alleen* op de Windows firewall vertrouwen, daarin heb je gelijk.
Pietje Puk gaf al aan waarom die bedrijfsfirewall niet werkt. (omdat dat USB stickje van de medewerker daar al omheen gaat)
Het afschermen van netwerken helpt je dan ook geen zier. Die medewerker moet immers voor zijn normale werk gewoon toegang krijgen, en daarmee heeft de besmetting dat ook.

Dat geldt voor de MKB, maar ook net zo hard voor de enterprise omgevingen met vlans etc.

Een firewall op een client is gewoon een goede extra laag beveiliging.
En dat is misschien wel te prefereren boven een extra firewall laag op je server.
(met name bij enterprise omgevingen met complexe netwerken moet je IDS/IPS wel haast op de server doen, want via het netwerk wordt dat veel te kostbaar)

Daar komt bij dat die windows firewall best goed is. Zeker als je meeneemt dat het ding gratis is, is er eigenlijk geen argument te verzinnen om 'm niet netjes te configureren en te gebruiken. (als je nog geen andere desktop firewall hebt)
@Arfman:
Onzin? Bij ons draait op alle laptops McAfee Firewall, want je weet nooit wat users thuis met hun pc uitspoken.
En ik kan je wel zeggen dat het hier allemaal goed geregeld is, moet ook wel in een bedrijf met +10.000 pc's.
VLAN's, ACL's, wat je maar wil, maar als een idioot thuis aan het internet hangt met zijn pc'tje, weet je nooit wat er allemaal op komt...

@aartdeheus:
Zoals je ziet, ook enterprises gebruiken client-side security...
bij bedrijven waar de windows omgeving zo gelimiteerd is dat een gebruik geen usb/cdrom etc kan aanspreken is een firewall inderdaad overbodig ... maar dit gebeurt echt alleen maar bij de grotere!

Een hardware firewall achter de modem is niet voldoende hoor!

Waarom maken ze dan toch niet gewoon een extra optie in de setup? en voor de unattended een extra /
Bv /F:A /F:I (dus All, of enkel incommig) simpel toch? en in de GUI, hetzelfde maar dan visueel?
Waarom niet gewoon een simpele registry sleutel of een los proggie die de firewall kan instellen naar de van te voren in te stellen opties. Kan je zo in een Unattent of RIS meenemen.
dan kom ik met mijn laptopje binnen, en doe alsof ik vertegenwoordiger ben en hack al je servers...
wat nou firewall? hoef ik toch niet doorheen?

dat Microsoft een firewall inbouwt kan ik alleen maar toejuichen... als ze maar wat beter zijn met meldingen dat het geblockt word...
laatst weer 1... age of empires 2
spel crasht als je tijdens het maken van een netwerkverbinding alt-tab doet...

m.a.w. onmogelijk om naar firewall exception te switchen.
kunnen ze nog wat van xfire leren... (met ingame vensters)
daarvoor heb je apparte netwerk voor bijv alleen amar internet die totaal van je eigen productie netwerk is afgesloten( een dmz oid), als er gasten/klanten/vertegenwoordigers komen die toch graag even hun mail willen checken. En tegenwoordig zie ik ook veel lui met een umts kaartje rond lopen dan connecten ze daar maar mee met een corp netwerk.

kortom nooit onbevoegde zomaar op je netwerk binen laten daarvoor heb je andere delen van je netwerk waar dit dus wel mag.
Hij heeft het er hier dan ook over dat de Windows Firewall overbodig is, wat ik wel met hem eens ben. In middelgrote en grote organisaties gebruiken ze veel betere firewalls dan datgene in Windows zit. Bovendien schermen bedrijven vaak hun interne netwerk af van het internet.
Oorzaak:
Bestaande sof-ware (waaronder hun eigen pakketten overigens) die in een potdichte config weigeren.

Overigens is die firewall heel goed te configureren via GPOs, ik voorzie dan ook wel dat die techniek ook ingezet zal worden.
Nu worden er nog ipsec policies gebruikt om clients dicht te spijkeren (je moet maar eens kijken hoeveel broadcasts een Windows netwerk oplevert), zometeen is dat dus de Firewall die dat doet.
Kost alleen wel even tijd om uit te zoeken welk verkeer je wel en niet wil.. maar als je nu al ipsec voor dat doel gebruikt heb je het iets makkelijker ;)
Jullie vergeten dat de meeste gebruikers dom zijn en er geen verstand van hebben en op allerlei foute sites proberen te komen.
Dus heb je wel degelijk beveiliging nodig.
Hoe vaak hoor je niet van een noob kennis dat de pc zo traag is en niets meer doet en er vreemd popups komen, en dat als je gaat kijken er een paar honderd reggers/loggers en spammers op staan ?
Hulde aan Microsoft om dit uit te schakelen.

Voor niemand in een uitgaande firewall op een lokale PC interessant. Niet voor bedrijven en niet voor thuisgebruikers.

Nu hoor (en zie) ik hier de meesten al moord en brand schreeuwen, maar ik zal mijn motivaties uitleggen.

Waarom heb je eigenlijk een uitgaande firewall nodig? Voor een bedrijf is het vooral tegen misbruik van het netwerk. Het is bijvoorbeeld niet de bedoeling dat mensen zomaar het net op kunnen zonder enige controle. Alleen dit regel je gewoon via je routers, net zo makkelijk.

Voor zowel bedrijven en thuisgebruikers wordt het argument 'virii, trojans en andere zooi die data verstuurd wil je tegenhouden'. Jammergenoeg zijn er 2 dingen fout met deze beredeniering.
1) Mensen klikken 'ja'. Wat er ook staat. Ja. Daarom hebben ze die spyware ook vaak in de eerste plaats. De firewall wordt dus gewoon weggeklikt. En niet alleen onervaren gebruikers. De doorgewinterde tweaker wordt ook -gek- van al die meldingen en zal deze dan ook gewoon uitschakelen.
2) Een beetje handige spyware (en zeker als de Vista firewall de de-facto standaard wordt) zal zijn hand niet omdraaien om deze uit te zetten. Aangezien de firewall op de lokale computer draait heeft de software op die lokale computer daar volledige controle over. Jammer maar helaas, u heeft net 10000 spam verstuurd ook al stond de firewall aan. Oeps.

Een inkomende firewall vind ik wel helemaal top. Zowel in het bedrijf (tegen een hacker die met z'n laptop inplugd) tot virii zoals Blaster en Sasser. Een inkomende firewall beschermd je. Een uitgaande niet... Een uitgaande zou anderen moeten beschermen, alleen werkt dat dus niet echt. Daarnaast moeten anderen ook zichzelf beschermen.Als iedereen dat deed had niemand ooit de uitgaande firewall voor eigen PC verzonnen.

Vergelijk het met een huis. Als dat op slot is kunnen de meeste mensen niet zo naar binnen (zonder geweld). Echter, zit er iemand in het huis (zonder sleutel), dan is het toch vrij triviaal om naar buiten te komen, hoe goed ook beveiligd. Gewoon even een raam open en je bent er uit.
Dan stellen ze de vragen toch lekker omgekeerd?

Wilt u dit programma de Internettoegang ontzeggen?
Ja | Nee

of cryptischer:
Wilt u dit programma niet toelaten Internet te gebruiken?
Ja | Nee
Ja en met die uitgaande firewall kan je dus de deuren en ramen sluiten zodat een niet-admin user ze niet kan openen.
Vergelijk het niet met een huis, maar met de muur om het huis. Als de poort op slot zit, de muur dik, hoog en diep genoeg is en er zit voldoende prikkeldraad op (naar beide kanten) dan kom je er van binnen ook niet 1-2-3 uit.

Daarnaast krijgt een normale gebruiker niet eens de kans om op 'ja' te drukken, want de admin heeft al ingesteld dat het al of niet mag.

edit: typo
Lekker voor developers.

Wil je tomcat gaan draaien, is hij door de firewall niet te breiken.
Of andere programma's die je nodig hebt voor je werk. Die firewall vindt ik niet eens nodig in een intern netwerk.
Een gemiste kans om spam (verstuurd vanuit botnets) en de verspreiding van virussen en malware een halt toe te roepen, daar volgens mij nog altijd een angstaanjagende hoeveelheid mensen niet bewust zijn van een infectie op hun computer. Als ze iedere keer een bericht zouden krijgen van vage programma's die contact proberen te maken met een of andere IRC server, dan zouden een hoop mensen zich stukken sneller bewust worden van deze dreiging...
Ben ik nou gek of is het nou zo moeilijk om tijdens de installatie de gebruiker hier zelf voor te laten kiezen?
Systeembeheerders die maken toch wel een install script met de voor hun beste instellingen.
En voor n00bs kan microsoft toch wel een beetje deftige firewall wizzard in elkaar knutselen?

Neem het trouwens microsoft niet kwalijk want die luistert naar z'n klanten. Maar die mensen die erom vragen hebben duidelijk iets niet helemaal begrepen.
In principe heb je de firewall niet nodig in een goed netwerk, maar een extra beveiligingslaag is nooit mis. Daarbij komt dat de windows firewall die is ge"introduceerd sinds SP2 prima werkt voor huis tuin en keuken gebruik... Gemiste kans denk ik zo.
ach - je netwerk is zo goed als de zwakste gebruiker, ik geloof wel in een tweede laag!
dat ding is gewoon godsgruwelijk irritant, en waarom heb je m?
voor de virussen die zichzelf willen mailen, word wakker!
in windows ben je toch als administrator ingelogd (het gros vd mensen) en een virus schakelt dan zo die firewall uit :Z
Tenzij je de Firewall moet instellen met je password. dat zal hoop schele in windows.

Trouwens. Ik ben altijd als User ingelogd wil ik een taak uitvoeren gebruik ik USE AS.
Niet als je Process Guard draait:

http://www.softpedia.com/...lated/Process-Guard.shtml
Process Guard is an advanced security system that protects both system and security processes (as well as user-defined processes) from attacks by other processes, services, drivers, and other forms of executing code on your system.
Godallemachtig, ik installeerde daarnet build 5365 van Vista Ultimate x64, maar wat een popup-festijn is dat zeg :(
Bij onderhand elke 2e muisklik vraagt Windows of je wel bevoegd bent om te doen wat jij wilt.
Daarnaast werkt het zaakje zo vlug en soepeltjes als dikke stront door een trechter (A64 2,4 GHz, GF 7600). Gelukkig zitten we nog maar bij Beta 2 - maar er ligt nog genoeg werk voor de jongens van Bill als ik het zo bekijk.
Dit is met een GPO uit te zetten.
Volgens Microsoft is dat echter iets wat niet eenvoudig is te doen, zeker niet in grote organisaties waar veel verschillende services draaien op een groot aantal poorten,
Is het voor grote bedrijven niet *juist* eenvoudig te doen? Tenminste: 1 keer alles uitzoeken, alle verschillende porten in kaart brengen, en dan de configuratiefile op alle systemen installeren?
Als iedereen precies hetzelfde zou doen wel ja. Dan hoef je het maar voor een gebruiker uit te zoeken. Maar als je 5000 gebruikers hebt zijn er vast wel mensen die dingen anders (moeten) doen dan anderen
Windows XP was de firewall ook standaard uit. Met SP1 werden daar extra dingen aan toegevoegt, en met SP2 kwam ie ineens standaard aan te staan.

Diezelfde procedure zullen we dus wel voor Vista kunnen verwachten, waarbij bedrijven dan de tijd krijgen om alles gereed te maken.

Hopelijk zijn bedrijven deze keer dan wel wat vlotter, want het was bespottelijk hoe lang sommige bedrijven gewacht hebben tot het laatste moment om XP-SP2 compatibiliteitsproblemen te testen.
Het uitgaande deel is juist het meest nuttige deel. De meeste mensen hebben op de router al een firewall staan die inkomend verkeer tegenhoudt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True