Neue Windows-Firewall wird in beide Richtungen filtern [Update]
Microsoft will in Windows Vista eine Zweiwege-Firewall integrieren, die nicht nur eingehenden, sondern auch abgehenden Datenverkehr filtern soll.
Microsoft will in Windows Vista eine Zweiwege-Firewall integrieren, die nicht nur eingehenden, sondern auch abgehenden Datenverkehr filtern soll. Damit bauen die Redmonder erstmals eine vollwertige Personal Firewall in Windows ein. Laut einem Blog-Eintrag eines Microsoft-Programmierers haben die Entwickler den Firewall-Code komplett neu geschrieben und auf flexible Konfigurierbarkeit optimiert.
Der neue Paketfilter soll nicht nur Zugriffe von außen blockieren, sondern auch ungewollte Verbindungen von lokalen Anwendungen, etwa das Senden von Daten an die Server des Herstellers. Die Windows-XP-SP2-Firewall kann dies zwar auch schon in begrenztem Maße, jedoch fragt diese nur bei Anwendungen nach, die Serverports zu öffnen versuchen. Das Versenden von Daten unterbindet sie nicht.
Die neue Firewall soll effizienter mit dem Windows-Kernel zusammenarbeiten. Ebenfalls neu ist die Integration mit IPsec-Richtlinien: Da die IPsec-Richtlinien den Firewall-Regeln widersprechen können, soll die Kombination beider Module zukünftig derartige Fehlkonfigurationen verhindern.
Generell haben die Entwickler verstärktes Augenmerk auf die Konfigurierbarkeit des Internet-Schutzwalles gelegt. Mit Gruppenrichtlinien soll einstellbar sein, zu welchen Zielen beispielsweise IPsec-verschlüsselte Verbindungen notwendig sind und welche Konten und Gruppen aus dem Active Directory sie initiieren dürfen. Die Firewall soll künftig vom Administrator vollständig über ein neues Plug-in für die Management-Konsole auch auf entfernten Rechnern einzurichten sein; unter Windows XP muss dazu noch der Remote Desktop herhalten.
Damit zieht Microsoft nach und programmiert eine Personal Firewall nach dem derzeitigen Stand der Technik. Die meisten Personal Firewalls, die der c't untergekommen sind, ließen sich allerdings durch einfachste Mittel umgehen. Einzig ZoneAlarm vermag bisher einen Großteil der trivialen Angriffe zu verhindern, aber auch dort entdecken findige Hacker immer wieder neue Wege, um Daten an der Firewall vorbeizuschmuggeln. (dmk)
