从历史上看,增强 DNS 安全性通常意味着牺牲网络流量的管理可见性。这迫使管理员在具有监控功能但缺乏保护的未加密 DNS 和盲目监控和控制的加密 DNS 之间做出选择。 Microsoft 的 ZTDNS 将 Windows DNS 引擎和 Windows 防火墙直接集成到客户端设备中以克服此问题。
ZTDNS 系统阻止客户端设备连接到除指定的“保护性 DNS 服务器”之外的任何 IP 地址。当客户端设备需要解析域名时,它会与保护性 DNS 服务器进行通信,该服务器可以选择使用客户端证书进行细粒度策略控制。解析后,ZTDNS 动态更新 Windows 防火墙以允许连接到新解析的 IP 地址,同时默认阻止所有其他流量。这创建了一个强大的基于域名的锁定工具。
您可以将其视为一系列过程,最终结果是您只能访问经过专门批准的网站,从而创建一个超级安全的环境。这在几个方面与常规 DNS 解析不同,即,您的 DNS 当前设置方式意味着它可以将任何 URL 解析为 IP 地址,即使它已知是恶意的(可能的后果包括恶意软件下载,甚至恶意行为者的潜在入口点)。
对于实际部署这项技术时可能发生的情况,也存在潜在的担忧。尽管这对于您的在线安全来说是一件很有希望的事情,但它也可能需要管理员仔细规划和配置,以避免正常网络功能的意外中断。毕竟,DNS 是互联网访问所需的核心功能,新系统可能会超越并阻止您可能需要使用的实际上无害的东西。好消息是,这还不会推出,因此仍然有一些时间来弄清楚如何正确设置,以便您的互联网体验不会在此过程中意外中断或中断。
ZTDNS 要求 DNS 服务器支持加密协议,例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。微软强调,ZTDNS 没有引入任何新的网络协议,这有助于使其广泛兼容。据微软称,ZTDNS 目前处于“私人预览版”,目前尚不清楚它目前是否仅由该公司进行内部测试,或者是否有少数特定用户正在/将要访问它。微软尚未给出任何关于 ZTDNS 何时公开可用的迹象,目前该公司刚刚表示 Windows Insiders 将在自己的时间访问它,并计划在时机到来时单独发布公告。
现在,如果您想了解有关 ZTDNS 的更多信息以及实际部署时需要考虑的事项,您可以查看 Microsoft 的博客文章,其中包含所有详细信息。
来源:Microsoft 通过 Ars Technica
以上是微软的 ZTDNS 可以增强 Windows 网络安全的详细内容。更多信息请关注PHP中文网其他相关文章!