Microsoft plant, Windows DNS wie nie zuvor zu sichern. Hier ist wie.

Die Übersetzung menschenlesbarer Domänennamen in numerische IP-Adressen ist seit langem mit erheblichen Sicherheitsrisiken behaftet. Schließlich erfolgt die Suche selten Ende-zu-Ende-verschlüsselt. Server, die die Suche nach Domänennamen anbieten, stellen Übersetzungen für nahezu jede IP-Adresse bereit – selbst wenn diese als bösartig bekannt ist. Viele Endbenutzergeräte können einfach so konfiguriert werden, dass sie keine zugelassenen Suchserver mehr verwenden und stattdessen bösartige Server verwenden.

Microsoft hat am Freitag eine eingeführt Blick In einem umfassenden Framework, das darauf abzielt, das Chaos im Domain Name System (DNS) zu entwirren, damit es in Windows-Netzwerken besser gesichert ist. Es heißt ZTDNS (Zero Trust DNS). Zwei Hauptvorteile sind (1) die verschlüsselte und kryptografisch authentifizierte Kommunikation zwischen Endbenutzer-Clients und DNS-Servern und (2) die Möglichkeit für Administratoren, die Bereiche, die diese Server auflösen, streng einzuschränken.

Räumung des Minenfeldes

Einer der Gründe, warum DNS zu einem Sicherheitsminenfeld werden kann, besteht darin, dass sich diese beiden Funktionen gegenseitig ausschließen können. Das Hinzufügen kryptografischer Authentifizierung und Verschlüsselung zu DNS verschleiert häufig die Sichtbarkeit, die Administratoren benötigen, um zu verhindern, dass Benutzergeräte eine Verbindung zu bösartigen Domänen herstellen oder anomales Verhalten innerhalb des Netzwerks erkennen. Infolgedessen wird der DNS-Verkehr entweder im Klartext gesendet oder auf eine Weise verschlüsselt, die es Administratoren ermöglicht, ihn während der Übertragung über einen im Wesentlichen verschlüsselten Text zu entschlüsseln Feindlicher Angriff in der Mitte.

Administratoren haben die Wahl zwischen ebenso unattraktiven Optionen: (1) DNS-Verkehr im Klartext weiterleiten, ohne dass sich Server und Client gegenseitig authentifizieren können, sodass bösartige Domänen blockiert und das Netzwerk überwacht werden können, oder (2) Verschlüsseln und authentifizieren Sie den DNS-Verkehr und verwerfen Sie ihn von der Domänenkontrolle und Netzwerksichtbarkeit.

ZTDNS zielt darauf ab, dieses jahrzehntealte Problem zu lösen, indem es die Windows-DNS-Engine mit dem Windows-Filtersystem – der Kernkomponente der Windows-Firewall – direkt in Client-Geräte integriert.

Die Vereinigung dieser bisher unterschiedlichen Engines wird es ermöglichen, Windows-Firewall-Updates pro Domänenname durchzuführen, sagte Jake Williams, Vizepräsident für Forschung und Entwicklung beim Beratungsunternehmen Hunter Strategies. Das Ergebnis ist ein Mechanismus, der es Unternehmen im Wesentlichen ermöglicht, Kunden anzuweisen, „nur unseren DNS-Server zu verwenden, der TLS verwendet und nur bestimmte Domänen auflöst“, sagte er. Microsoft bezeichnet diesen DNS-Server oder diese DNS-Server als „schützenden DNS-Server“.

Standardmäßig lehnt die Firewall Lösungen für alle Domänen ab, mit Ausnahme derjenigen, die in den Zulassungslisten aufgeführt sind. Eine separate Zulassungsliste enthält Subnetze mit IP-Adressen, die Clients zum Ausführen genehmigter Software benötigen. Der Schlüssel, um diese Arbeit in einem Unternehmen mit sich schnell ändernden Anforderungen in großem Maßstab erledigen zu können. Der Netzwerksicherheitsexperte Royce Williams (kein Bezug zu Jake Williams) beschrieb dies als „eine Art Zwei-Wege-API für die Firewall-Ebene, sodass Sie Firewall-Aktionen auslösen können (durch Eingabe *in* die Firewall) und externe Aktionen auslösen können, die davon abhängen auf der Firewall Stateful-Schutz (Ausgabe *von* der Firewall), wenn Sie ein AV-Anbieter oder etwas anderes sind, rufen Sie einfach WFP an.