從歷史上看,增強 DNS 安全性通常意味著犧牲對網路流量的管理可見性。這迫使管理員在具有監控功能但缺乏保護的未加密 DNS 和盲目監控和控制的加密 DNS 之間做出選擇。 Microsoft 的 ZTDNS 將 Windows DNS 引擎和 Windows 防火牆直接整合到用戶端裝置中以克服此問題。
ZTDNS 系統阻止用戶端裝置連接到指定的「保護性 DNS 伺服器」之外的任何 IP 位址。當客戶端設備需要解析網域名稱時,它會與保護性 DNS 伺服器進行通信,該伺服器可以選擇使用客戶端憑證進行細粒度策略控制。解析後,ZTDNS 動態更新 Windows 防火牆以允許連接到新解析的 IP 位址,同時預設封鎖所有其他流量。這創建了一個強大的基於網域的鎖定工具。
您可以將其視為一系列流程,最終結果是您只能訪問經過專門批准的網站,從而創建一個超級安全的環境。這在幾個方面與常規 DNS 解析不同,即,您的 DNS 目前設定方式意味著它可以將任何 URL 解析為 IP 位址,即使它已知是惡意的(可能的後果包括惡意軟體下載,甚至惡意行為者的潛在入口點)。
對於實際部署這項技術時可能發生的情況,也存在潛在的擔憂。儘管這對您的線上安全性來說是一件很有希望的事情,但它也可能需要管理員仔細規劃和配置,以避免正常網路功能的意外中斷。畢竟,DNS 是網路存取所需的核心功能,新系統可能會超越並阻止您可能需要使用的實際上無害的東西。好消息是,這還不會推出,因此仍然有一些時間來弄清楚如何正確設置,以便您的互聯網體驗不會在此過程中意外中斷或中斷。
ZTDNS 要求 DNS 伺服器支援加密協議,例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。微軟強調,ZTDNS 沒有引入任何新的網路協議,這有助於使其廣泛相容。據微軟稱,ZTDNS 目前處於“私人預覽版”,目前尚不清楚它目前是否僅由該公司進行內部測試,或者是否有少數特定用戶正在/將要訪問它。微軟尚未給出任何關於 ZTDNS 何時公開可用的跡象,目前該公司剛剛表示 Windows Insiders 將在自己的時間訪問它,併計劃在時機到來時單獨發佈公告。
現在,如果您想了解有關 ZTDNS 的更多資訊以及實際部署時需要考慮的事項,您可以查看 Microsoft 的部落格文章,其中包含所有詳細資訊。
來源:Microsoft 透過 Ars Technica
以上是微軟的 ZTDNS 可以增強 Windows 網路安全的詳細內容。更多資訊請關注PHP中文網其他相關文章!