DNS är en av de största svaga punkterna i våra enheter' nätverk. Det används ofta utan kryptering, vilket är ett problem när DNS ansvarar för att konvertera webbadresser till de nödvändiga serverns IP-adresser. Microsoft planerar nu några ändringar i Windows som kan göra DNS säkrare och mindre sårbart för manipulering.
Microsoft har avslöjat ett heltäckande nytt säkerhetssystem, kallat Zero Trust DNS (förkortat ZTDNS), som syftar till att avsevärt stärka säkerheten för Domain Name System (DNS) i Windows-nätverk. DNS, som är avgörande för att översätta människovänliga webbplatsnamn till numeriska IP-adresser, har länge plågats av säkerhetsrisker. ZTDNS lovar att lösa detta genom att tillhandahålla krypterade och autentiserade kommunikationskanaler mellan klientenheter och DNS-servrar, samtidigt som det ger administratörer möjlighet att noggrant kontrollera vilka domäner dessa servrar kan lösa.
Historiskt sett har förbättrad DNS-säkerhet ofta inneburit att man offrat administrativ synlighet i nätverkstrafiken. Detta tvingar administratörer att välja mellan okrypterad DNS med övervakningskapacitet men som saknar skydd, eller krypterad DNS som förblindar övervakning och kontroll. Microsofts ZTDNS integrerar Windows DNS-motorn och Windows-brandväggen direkt i klientenheter för att lösa detta problem.
ZTDNS-systemet blockerar klientenheter från att ansluta till vilken IP-adress som helst förutom de som har angivna "skyddande DNS-servrar." När en klientenhet behöver lösa ett domännamn, kommunicerar den med en skyddande DNS-server, som valfritt kan använda klientcertifikat för finkornig policykontroll. Efter upplösning uppdaterar ZTDNS Windows-brandväggen dynamiskt för att tillåta anslutningar till de nyligen lösta IP-adresserna, samtidigt som all annan trafik blockeras som standard. Detta skapar ett kraftfullt domännamnsbaserat låsningsverktyg.
Du kan se detta som en serie processer där det slutliga resultatet är att du bara kan besöka webbplatser som har blivit specifikt godkända, vilket skapar en supersäker miljö. Detta skiljer sig från vanlig DNS-lösning på några sätt—närligt hur din DNS för närvarande är inställd betyder att den kan lösa vilken URL som helst till en IP-adress, även om den är känd för att vara skadlig (med möjliga konsekvenser från nedladdning av skadlig programvara till ens en potentiell ingångspunkt för en illvillig aktör).
Det finns också potentiella farhågor om vad som kan hända när denna teknik faktiskt används. Även om det är en lovande sak för din onlinesäkerhet, kommer det förmodligen också att kräva noggrann planering och konfiguration av administratörer för att undvika oavsiktliga störningar av normala nätverksfunktioner. När allt kommer omkring är DNS en kärnfunktion som behövs för internetåtkomst, och det nya systemet kan nå över och blockera faktiskt icke-skadliga saker som du kan behöva använda. Det som är bra är att det här inte kommer att rullas ut ännu, så det finns fortfarande lite tid att ta reda på hur man ställer in saker på rätt sätt så att din internetupplevelse inte av misstag bryts eller störs i processen.
ZTDNS kräver att DNS-servrar stöder krypteringsprotokoll som DNS över HTTPS (DoH) eller DNS över TLS ( Punkt). Microsoft betonar att ZTDNS inte introducerar några nya nätverksprotokoll, vilket hjälper till att göra det i stort sett kompatibelt. ZTDNS är för närvarande i "privat förhandsgranskning" enligt Microsoft—det är inte omedelbart klart om det bara testas internt av företaget för tillfället eller om ett fåtal utvalda användare får/kommer att få tillgång till det. Microsoft har inte gett någon indikation på när ZTDNS kan bli allmänt tillgänglig, och för närvarande har företaget precis sagt att Windows Insiders kommer att få tillgång till det vid sin egen tidpunkt, med ett separat tillkännagivande planerat när det är dags.
För nu, om du vill läsa mer om ZTDNS och vad du ska ta hänsyn till när det är dags för en implementering i verkligheten kan du kolla in Microsofts blogginlägg med alla detaljer .
Källa: Microsoft via Ars Technica
Leave a Reply
You must be logged in to post a comment.