これまで、DNS セキュリティを強化すると、ネットワーク トラフィックに対する管理上の可視性が犠牲になることがよくありました。このため、管理者は、監視機能はあるが保護が欠けている非暗号化 DNS か、監視と制御を妨げる暗号化 DNS のどちらかを選択する必要があります。 Microsoft の ZTDNS は、Windows DNS エンジンと Windows ファイアウォールをクライアント デバイスに直接統合して、この問題を解決します。
ZTDNS システムは、クライアント デバイスが、指定された「保護 DNS サーバー」の IP アドレスを除く IP アドレスに接続することをブロックします。クライアント デバイスがドメイン名を解決する必要がある場合、保護 DNS サーバーと通信します。保護 DNS サーバーは、オプションでクライアント証明書を使用して、きめ細かいポリシーを制御できます。解決時に、ZTDNS は Windows ファイアウォールを動的に更新して、新しく解決された IP アドレスへの接続を許可しますが、その他のトラフィックはデフォルトですべてブロックされます。これにより、強力なドメイン名ベースのロックダウン ツールが作成されます。
これは、最終的に特別に承認された Web サイトにのみアクセスできるようになり、非常に安全な環境が構築される一連のプロセスと考えることができます。これは、通常の DNS 解決とはいくつかの点で異なります。つまり、現在の DNS の設定方法では、悪意があることがわかっている場合でも、あらゆる URL を IP アドレスに解決できます (マルウェアのダウンロードから、さらには悪意のある攻撃者の潜在的な侵入ポイント)。
このテクノロジーが実際に導入されたときに何が起こるかについての潜在的な懸念もあります。これはオンラインの安全性にとって有望な機能ではありますが、通常のネットワーク機能が誤って中断されることを避けるために、管理者による慎重な計画と構成もおそらく必要になります。結局のところ、DNS はインターネット アクセスに必要な中核機能であり、新しいシステムは、使用する必要がある実際には害のないものを過剰にアクセスしてブロックする可能性があります。幸いなことに、これはまだ展開されないため、インターネット エクスペリエンスがプロセス中に誤って破損したり中断されたりしないように、適切に設定する方法を見つけるにはまだ時間がかかります。
ZTDNS では、DNS サーバーが DNS over HTTPS (DoH) や DNS over TLS (DoT) などの暗号化プロトコルをサポートしている必要があります。 Microsoft は、ZTDNS には新しいネットワーク プロトコルが導入されていないため、広範な互換性を確保できることを強調しています。 Microsoft によれば、ZTDNS は現在「プライベート プレビュー」段階にあり、現時点では社内でのみテストされているのか、それとも少数の選ばれたユーザーがアクセスできるようになるのか、アクセスできるようになるのかはすぐには明らかではありません。 Microsoft は、ZTDNS がいつ一般公開されるかについては何も示しておらず、今のところ、同社は Windows Insider が任意のタイミングで ZTDNS にアクセスできるようになり、その時期が来たら別途発表する予定であるとだけ述べています。
現時点では、ZTDNS と実際の展開の際に考慮すべき点について詳しく知りたい場合は、すべての詳細が記載された Microsoft のブログ投稿を確認してください。
出典: Ars Technica 経由の Microsoft
以上がMicrosoftのZTDNSはWindowsネットワークのセキュリティを強化する可能性があるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。