微軟上周宣布一項零信任安全技術,可藉由鎖定Windows PC只能連結受信任的網域,以確保用戶及企業網路安全,未來也將整合到所有Windows中。

新技術名為零信任DNS(Zero Trust DNS,ZTDNS),微軟也預告未來的Windows都將包含。微軟解釋,ZTDNS使用開放標準為基礎的網路協定以滿足零信任要求,如OMB M-22-09NIST SP 800-207,適用以網域名識別網路流量的管理策略。

ZTDNS可整合Windows DNS用戶端及Windows Filtering Platform(WFP),實現以網域名為基礎的鎖定。Windows內含一組支援DoH(DNS over HTTPS)或DoT(DNS over TLS)的伺服器,名為Protective DNS Server,這些元件將只解析列在白名單中的網域名。此外Windows也可能包含一組必須常保連線的IP子網路清單,並在連線時等待Protective DNS伺服器憑證身分資訊,好確認連線連到了正確的伺服器,或是用於用戶端驗證的憑證。

其次,具有ZTDNS的Windows將封鎖Protective DNS伺服器連線以外、以及發現網路連線資訊必要的DHCP、DHCPv6、NDP流量以外的IPv4、IPv6連線。

透過整合ZTDNS,未來從Windows PC上Protective DNS伺服器所發出任何一個包含IP解析動作的DNS回應,都會觸發連外流量的白名單檢查,這可確保使用系統DNS組態的應用程式和服務可獲得放行,連結到已解析的IP位置。反之,若應用程式和服務想對某個ZTDNS不認識(且未被手動加入例外清單)的IP位址傳送IPv4或IPv6流量時就會被封鎖。

圖片來源/微軟

但是Windows中的DNS伺服器若想扮演Zero Trust DNS角色,最基本要求是要能支援DoH或DoT,因為ZTNDS會拒絕Windows的明碼DNS連線。而在加密DNS連線上使用mTLS(mutual TLS,雙向驗證TLS)後,可允許Protective DNS按個別用戶端設定解析政策。微軟說,ZTDNS不使用新的網路協定,可確保其高相容性。

ZTDNS現在為限制性預覽階段,微軟說之後等更多用戶獲得ZTDNS用戶端後,會再進一步擴大測試。

但微軟也說明ZTDNS可能會影響一些現有安全性較低的連線。由於封鎖了所有無法判讀網域名的連外流量,因此一些網路協定包括mDNS、LLMNR、NetBIOS Name Resolution、UPnP和WebRTC等會失去作用。其中有些可以藉由定義一些例外IP子網路重新開啟,但那些無法預先得知IP的連線就是無解了。

但微軟也提醒,列出例外IP白名單有二個需要考量的地方。一是必須精簡,免得白名單太長,二是只限全球獨一無二的IP位址,免得不同網域有相同IP位址的主機。

熱門新聞

Advertisement