Microsoft планирует обеспечить безопасность Windows DNS как никогда раньше. Вот как.

Перевод удобочитаемых доменных имен в числовые IP-адреса уже давно сопряжен со значительными рисками безопасности. В конце концов, поисковые запросы редко подвергаются сквозному шифрованию. Серверы, выполняющие поиск доменных имен, обеспечивают переводы практически для любого IP-адреса, даже если известно, что они вредоносны. Многие устройства конечных пользователей можно легко настроить так, чтобы они перестали использовать одобренные поисковые серверы и вместо этого использовали вредоносные серверы.

Microsoft в пятницу представила Взглянуть мельком Комплексная структура, направленная на устранение беспорядка в системе доменных имен (DNS), чтобы обеспечить ее лучшую безопасность в сетях Windows. Он называется ZTDNS (DNS с нулевым доверием). Двумя основными преимуществами являются (1) зашифрованная и криптографически аутентифицированная связь между клиентами конечных пользователей и DNS-серверами и (2) возможность администраторов жестко ограничивать диапазоны, которые будут разрешаться этими серверами.

Очистка минного поля

Одна из причин, по которой DNS может стать минным полем безопасности, заключается в том, что эти две функции могут быть взаимоисключающими. Добавление криптографической аутентификации и шифрования в DNS часто скрывает видимость, необходимую администраторам для предотвращения подключения пользовательских устройств к вредоносным доменам или обнаружения аномального поведения в сети. В результате DNS-трафик либо отправляется в виде открытого текста, либо шифруется таким образом, что администраторы могут расшифровать его при передаче по тому, что по сути является Вражеская атака посередине.

Администраторам приходится выбирать между одинаково непривлекательными вариантами: (1) маршрутизировать DNS-трафик в виде открытого текста, не позволяя серверу и клиентскому компьютеру аутентифицировать друг друга, чтобы можно было блокировать вредоносные домены и контролировать сеть, или (2) шифровать и проверять подлинность DNS-трафика и исключать его из контроля домена и видимости сети.

ZTDNS стремится решить эту давнюю проблему путем интеграции механизма DNS Windows с системой фильтрации Windows — основным компонентом брандмауэра Windows — непосредственно в клиентские устройства.

Объединение этих ранее разрозненных механизмов позволит производить обновления брандмауэра Windows для каждого доменного имени, сказал Джейк Уильямс, вице-президент по исследованиям и разработкам консалтинговой фирмы Hunter Strategies. Результатом является механизм, который позволяет организациям, по сути, говорить клиентам «использовать только наш DNS-сервер, который использует TLS и будет разрешать только определенные домены», — сказал он. Microsoft называет этот DNS-сервер или серверы «защитным DNS-сервером».

По умолчанию брандмауэр отклоняет решения для всех доменов, кроме тех, которые указаны в списках разрешенных. Отдельный список разрешений будет содержать подсети IP-адресов, которые необходимы клиентам для запуска одобренного программного обеспечения. Ключ к выполнению этой работы в масштабе внутри организации с быстро меняющимися потребностями. Эксперт по сетевой безопасности Ройс Уильямс (не родственник Джейка Уильямса) описал это как «своего рода двусторонний API для уровня брандмауэра, поэтому вы можете запускать действия брандмауэра (путем ввода *в* брандмауэр) и запускать внешние действия, которые зависят на брандмауэре. Защита с сохранением состояния (выходные данные *от* брандмауэра). Поэтому вместо того, чтобы изобретать велосипед брандмауэра, если вы поставщик AV-оборудования или чего-то еще, просто позвоните в WFP.