微软的 ZTDNS 可以增强 Windows 网络安全

从历史上看，增强 DNS 安全性通常意味着牺牲网络流量的管理可见性。这迫使管理员在具有监控功能但缺乏保护的未加密 DNS 和盲目监控和控制的加密 DNS 之间做出选择。 Microsoft 的 ZTDNS 将 Windows DNS 引擎和 Windows 防火墙直接集成到客户端设备中以克服此问题。

ZTDNS 系统阻止客户端设备连接到除指定的“保护性 DNS 服务器”之外的任何 IP 地址。当客户端设备需要解析域名时，它会与保护性 DNS 服务器进行通信，该服务器可以选择使用客户端证书进行细粒度策略控制。解析后，ZTDNS 动态更新 Windows 防火墙以允许连接到新解析的 IP 地址，同时默认阻止所有其他流量。这创建了一个强大的基于域名的锁定工具。

您可以将其视为一系列过程，最终结果是您只能访问经过专门批准的网站，从而创建一个超级安全的环境。这在几个方面与常规 DNS 解析不同，即，您的 DNS 当前设置方式意味着它可以将任何 URL 解析为 IP 地址，即使它已知是恶意的（可能的后果包括恶意软件下载，甚至恶意行为者的潜在入口点）。

对于实际部署这项技术时可能发生的情况，也存在潜在的担忧。尽管这对于您的在线安全来说是一件很有希望的事情，但它也可能需要管理员仔细规划和配置，以避免正常网络功能的意外中断。毕竟，DNS 是互联网访问所需的核心功能，新系统可能会超越并阻止您可能需要使用的实际上无害的东西。好消息是，这还不会推出，因此仍然有一些时间来弄清楚如何正确设置，以便您的互联网体验不会在此过程中意外中断或中断。

ZTDNS 要求 DNS 服务器支持加密协议，例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。微软强调，ZTDNS 没有引入任何新的网络协议，这有助于使其广泛兼容。据微软称，ZTDNS 目前处于“私人预览版”，目前尚不清楚它目前是否仅由该公司进行内部测试，或者是否有少数特定用户正在/将要访问它。微软尚未给出任何关于 ZTDNS 何时公开可用的迹象，目前该公司刚刚表示 Windows Insiders 将在自己的时间访问它，并计划在时机到来时单独发布公告。

现在，如果您想了解有关 ZTDNS 的更多信息以及实际部署时需要考虑的事项，您可以查看 Microsoft 的博客文章，其中包含所有详细信息。

来源：Microsoft 通过 Ars Technica

以上是微软的 ZTDNS 可以增强 Windows 网络安全的详细内容。更多信息请关注PHP中文网其他相关文章！