微軟宣布零信任DNS安全技術,可藉由鎖定Windows PC只能連結受信任的網域,以確保用戶網路安全
文/林妍溱 | 2024-05-06發表
微軟上周宣布一項零信任安全技術,可藉由鎖定Windows PC只能連結受信任的網域,以確保用戶及企業網路安全,未來也將整合到所有Windows中。
新技術名為零信任DNS(Zero Trust DNS,ZTDNS),微軟也預告未來的Windows都將包含。微軟解釋,ZTDNS使用開放標準為基礎的網路協定以滿足零信任要求,如OMB M-22-09及NIST SP 800-207,適用以網域名識別網路流量的管理策略。
ZTDNS可整合Windows DNS用戶端及Windows Filtering Platform(WFP),實現以網域名為基礎的鎖定。Windows內含一組支援DoH(DNS over HTTPS)或DoT(DNS over TLS)的伺服器,名為Protective DNS Server,這些元件將只解析列在白名單中的網域名。此外Windows也可能包含一組必須常保連線的IP子網路清單,並在連線時等待Protective DNS伺服器憑證身分資訊,好確認連線連到了正確的伺服器,或是用於用戶端驗證的憑證。
其次,具有ZTDNS的Windows將封鎖Protective DNS伺服器連線以外、以及發現網路連線資訊必要的DHCP、DHCPv6、NDP流量以外的IPv4、IPv6連線。
透過整合ZTDNS,未來從Windows PC上Protective DNS伺服器所發出任何一個包含IP解析動作的DNS回應,都會觸發連外流量的白名單檢查,這可確保使用系統DNS組態的應用程式和服務可獲得放行,連結到已解析的IP位置。反之,若應用程式和服務想對某個ZTDNS不認識(且未被手動加入例外清單)的IP位址傳送IPv4或IPv6流量時就會被封鎖。
圖片來源/微軟
但是Windows中的DNS伺服器若想扮演Zero Trust DNS角色,最基本要求是要能支援DoH或DoT,因為ZTNDS會拒絕Windows的明碼DNS連線。而在加密DNS連線上使用mTLS(mutual TLS,雙向驗證TLS)後,可允許Protective DNS按個別用戶端設定解析政策。微軟說,ZTDNS不使用新的網路協定,可確保其高相容性。
ZTDNS現在為限制性預覽階段,微軟說之後等更多用戶獲得ZTDNS用戶端後,會再進一步擴大測試。
但微軟也說明ZTDNS可能會影響一些現有安全性較低的連線。由於封鎖了所有無法判讀網域名的連外流量,因此一些網路協定包括mDNS、LLMNR、NetBIOS Name Resolution、UPnP和WebRTC等會失去作用。其中有些可以藉由定義一些例外IP子網路重新開啟,但那些無法預先得知IP的連線就是無解了。
但微軟也提醒,列出例外IP白名單有二個需要考量的地方。一是必須精簡,免得白名單太長,二是只限全球獨一無二的IP位址,免得不同網域有相同IP位址的主機。
網頁設計.RWD響應式網站.活動網站 / 服務類
網站技術:PHP . Javascript/MySql
世展發起募捐計畫,利用募捐的錢來幫助貧困教育、生活甚至是疾病,可以減輕家中的負擔。
線上捐款辦法也非常容易,點選右下角"我要送出紅包">>勾選要送出的紅包類型>>完成付款就可以喔。
網頁設計.RWD響應式網站 / 電子工業類
網站技術:PHP . Javascript/MySql
提供北美、大陸及菲律賓地區的各式照明,以及太陽能建置相關照明燈具服務。
精選專案.網頁設計.RWD響應式網站.行動版網站 / 服務類
網站技術:PHP . Javascript . iOS . Android/MySql
協助民眾了解與申請商標的相關流程與資訊,讓客戶加深專利商標這方面的訊息,以過往的案件來加深大眾對於商標的重要性。甚至可以為不同類型客戶量身打造品牌策略服務、分析對手情況...等等服務。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策