DNS是网络设备中一个潜在的安全隐患。由于DNS常用于将网站地址转换为服务器IP地址,且经常不加密,这可能导致安全问题。为了提升安全性,微软计划对Windows操作系统的DNS进行改进。微软提出了ZTDNS,这是一个全新的安全系统,旨在显著提高Windows网络中DNS的安全性。ZTDNS通过加密和认证的通信通道,解决了长期以来DNS的安全风险,并允许管理员严格控制服务器所能解析的域名。
安全性与监控的平衡
传统上,增强DNS的安全性可能会牺牲网络流量的管理可见性。ZTDNS通过将Windows DNS引擎和Windows防火墙集成到客户端设备中,解决了这一问题,提供了一个既安全又便于管理的解决方案。
保护性 DNS 服务器
ZTDNS系统确保客户端设备只能连接到指定的“保护性DNS服务器”。当设备需要解析域名时,它会与这些服务器通信,服务器可以使用客户端证书进行细粒度的政策控制。ZTDNS还会动态更新Windows防火墙,仅允许连接到新解析的IP地址,同时默认阻止其他所有流量。
精准控制,超级安全
这意味着,最终用户只能访问那些经过特别批准的网站,从而创建了一个极其安全的环境。与传统DNS解析不同,ZTDNS不会解析已知恶意的URL,从而避免了从恶意软件下载到潜在的恶意行为者入侵的各种风险。
实际部署的挑战
尽管ZTDNS对在线安全是一个有希望的进步,但它的部署可能需要管理员进行细致的规划和配置,以避免干扰正常的网络功能。DNS是互联网访问的核心功能,ZTDNS的过度限制可能会错误地阻止一些无害的资源。
ZTDNS 的兼容性与预览
ZTDNS要求DNS服务器支持加密协议,如通过HTTPS的DNS(DoH)或通过TLS的DNS(DoT)。微软强调,ZTDNS与现有网络协议兼容。目前,ZTDNS处于私人预览阶段,微软尚未宣布其公开可用的时间表,但表示Windows内幕人士(Windows Insiders)将在适当时候获得访问权限。
0条评论