DNS ist eine der größten Schwachstellen in der Vernetzung unserer Geräte. Es wird oft ohne Verschlüsselung verwendet, was ein Problem darstellt, wenn DNS für die Konvertierung von Webadressen in die erforderlichen Server-IP-Adressen verantwortlich ist. Microsoft plant nun einige Änderungen an Windows, die DNS sicherer und weniger anfällig für Manipulationen machen könnten.
Microsoft hat ein umfassendes neues Sicherheitssystem namens Zero Trust DNS (kurz ZTDNS) vorgestellt, das die Sicherheit des Domain Name System (DNS) in Windows-Netzwerken deutlich verbessern soll. DNS, das für die Übersetzung benutzerfreundlicher Website-Namen in numerische IP-Adressen unerlässlich ist, war lange Zeit von Sicherheitsrisiken geplagt. ZTDNS verspricht, dieses Problem zu lösen, indem es verschlüsselte und authentifizierte Kommunikationskanäle zwischen Client-Geräten und DNS-Servern bereitstellt und Administratoren gleichzeitig die Möglichkeit gibt, streng zu kontrollieren, welche Domänen diese Server auflösen können.
In der Vergangenheit ging die Verbesserung der DNS-Sicherheit oft mit der Einschränkung der administrativen Transparenz des Netzwerkverkehrs einher. Dies zwingt Administratoren dazu, sich zwischen unverschlüsseltem DNS mit Überwachungsfunktion, aber ohne Schutz, oder verschlüsseltem DNS, das Überwachung und Kontrolle unmöglich macht, zu entscheiden. Microsofts ZTDNS integriert die Windows-DNS-Engine und die Windows-Firewall direkt in Clientgeräte, um dieses Problem zu lösen.
Das ZTDNS-System blockiert die Verbindung von Client-Geräten mit anderen IP-Adressen als denen von ausgewiesenen „schützenden DNS-Servern“. Wenn ein Client-Gerät einen Domänennamen auflösen muss, kommuniziert es mit einem schützenden DNS-Server, der optional Client-Zertifikate für eine feinkörnige Richtlinienkontrolle verwenden kann. Nach der Auflösung aktualisiert ZTDNS die Windows-Firewall dynamisch, um Verbindungen mit den neu aufgelösten IP-Adressen zuzulassen, während standardmäßig der gesamte andere Datenverkehr blockiert wird. Dadurch entsteht ein leistungsstarkes, auf Domänennamen basierendes Sperrtool.
Sie können sich das als eine Reihe von Prozessen vorstellen, deren Endergebnis darin besteht, dass Sie nur Websites besuchen können, die speziell genehmigt wurden, wodurch eine supersichere Umgebung entsteht. Dies unterscheidet sich in einigen Punkten von der normalen DNS-Auflösung – nämlich, dass die Art und Weise, wie Ihr DNS derzeit eingerichtet ist, bedeutet, dass es jede URL in eine IP-Adresse auflösen kann, selbst wenn diese als bösartig bekannt ist (mit möglichen Konsequenzen, die vom Herunterladen von Malware bis hin zu einem potenziellen Einstiegspunkt für einen böswilligen Akteur reichen).
Es gibt auch potenzielle Bedenken darüber, was passieren könnte, wenn diese Technologie tatsächlich eingesetzt wird. Obwohl sie eine vielversprechende Sache für Ihre Online-Sicherheit ist, wird sie wahrscheinlich auch eine sorgfältige Planung und Konfiguration durch die Administratoren erfordern, um eine versehentliche Störung der normalen Netzwerkfunktionen zu vermeiden. Schließlich ist DNS eine Kernfunktion, die für den Internetzugang benötigt wird, und das neue System könnte übergreifen und eigentlich ungefährliche Dinge blockieren, die Sie möglicherweise verwenden müssen. Das Gute ist, dass dies noch nicht sofort eingeführt wird, also bleibt noch etwas Zeit, um herauszufinden, wie man die Dinge richtig einrichtet, damit Ihr Interneterlebnis dabei nicht versehentlich unterbrochen oder gestört wird.
ZTDNS erfordert, dass DNS-Server Verschlüsselungsprotokolle wie DNS over HTTPS (DoH) oder DNS over TLS (DoT) unterstützen. Microsoft betont, dass ZTDNS keine neuen Netzwerkprotokolle einführt, was zu einer breiten Kompatibilität beiträgt. ZTDNS befindet sich laut Microsoft derzeit in der „privaten Vorschau“ – es ist nicht sofort klar, ob es derzeit nur intern vom Unternehmen getestet wird oder ob einige ausgewählte Benutzer Zugriff darauf erhalten/erhalten. Microsoft hat keinen Hinweis darauf gegeben, wann ZTDNS öffentlich verfügbar sein könnte, und vorerst hat das Unternehmen lediglich gesagt, dass Windows Insider zu ihrem eigenen Zeitpunkt Zugriff darauf erhalten werden, wobei zu gegebener Zeit eine separate Ankündigung geplant ist.
Wenn Sie vorerst mehr über ZTDNS lesen möchten und wissen möchten, was bei einer tatsächlichen Bereitstellung zu beachten ist, können Sie sich den Blogbeitrag von Microsoft mit allen Einzelheiten ansehen.
Quelle: Microsoft via Ars Technica
Leave a Reply
You must be logged in to post a comment.