域名查找过程是网络安全中最重要的漏洞之一。尽管 DNS 对于将人类友好的网址转换为计算机可以理解的 IP 号码至关重要,但它过于“开放”。从浏览器到应用程序再到操作系统组件,所有内容都以明文方式广播 DNS 请求,使它们容易受到窥探和劫持攻击。
微软终于针对这个 DNS 漏洞采取了一些措施。该公司最近发布了新的“零信任 DNS”(ZTDNS) 框架的预览版,以保护 Windows DNS 流量。从我们所看到的来看,这是一次相当全面的安全检修。
ZTDNS 背后的核心概念正如其听起来一样 – 在经过彻底验证之前,永远不会自动信任任何域解析请求。在此模型下,配置为零信任 DNS 的 Windows PC 将断然拒绝连接到任何服务器,除非其域名得到明确批准并且其 DNS 查找经过加密和身份验证。
微软解释道:“[零信任 DNS] 使硬编码 IP 地址或未经批准的加密 DNS 服务器的使用变得无关紧要,而不必引入 TLS 终止,也不会错过端到端加密的安全优势。”
零信任 DNS 利用两种现有的 Windows 技术 – 用于处理查找的 DNS 客户端和用于执行网络策略的 Windows 过滤平台。启用后,ZTDNS 默认情况下会阻止所有出站 IPv4 和 IPv6 流量,但经批准的 DNS 服务器和网络发现所需的最低限度流量除外。因此,任何包含 IP 地址的 DNS 响应都会解锁该目的地的例外,从而允许相应的应用程序或服务进行连接。相比之下,尝试访问未经批准的 IP 会立即遭到阻止。
微软希望广泛采用零信任 DNS 有助于阻止使用未经验证的域名的潜在恶意流量。该框架可以消除企业和高风险环境中所有基于 DNS 的攻击和数据泄露。
当然,该功能仍处于早期预览阶段,没有确定的稳定发布时间表。不过,微软已承诺很快将其交付给 Windows Insiders 进行更广泛的测试。
在美国网络安全审查委员会批评过去的安全做法“不足”后,微软正在进行保护改革。董事会的担忧是在 Exchange Online 黑客攻击等重大事件发生后引起的。该审查促使首席执行官萨蒂亚·纳德拉 (Satya Nadella) 采取行动。本周早些时候,他向全公司发出了一份备忘录,指示员工将安全放在首位。
微软重新关注的焦点解释了 ZTDNS 框架的推出,这可能是与此次改组相对应的首批变化之一。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/49986.html
