Мицрософт планира да обезбеди Виндовс ДНС као никада раније. Ево како.

Превођење имена домена читљивих за људе у нумеричке ИП адресе дуго је било оптерећено значајним безбедносним ризицима. На крају крајева, претраге су ретко шифроване од краја до краја. Сервери који обезбеђују тражење имена домена пружају преводе за скоро сваку ИП адресу — чак и када се зна да су злонамерни. Многи уређаји крајњих корисника могу се лако конфигурисати да престану да користе одобрене сервере за претрагу и уместо њих користе злонамерне сервере.

Мицрософт је у петак представио а Поглед У свеобухватном оквиру који има за циљ да размрси неред у систему имена домена (ДНС) тако да буде боље обезбеђен унутар Виндовс мрежа. Зове се ЗТДНС (Зеро Труст ДНС). Две главне предности су (1) шифрована и криптографски потврђена комуникација између клијената крајњих корисника и ДНС сервера и (2) способност администратора да строго ограниче опсеге које ће ови сервери решити.

Чишћење минског поља

Један од разлога зашто ДНС може постати сигурносно минско поље је тај што се ове двије карактеристике могу међусобно искључивати. Додавање криптографске аутентификације и шифровања ДНС-у често прикрива видљивост која је потребна администраторима да спрече корисничке уређаје да се повежу са злонамерним доменима или открију аномално понашање унутар мреже. Као резултат тога, ДНС саобраћај се или шаље у чистом тексту или је шифрован на начин који омогућава администраторима да га дешифрују у транзиту преко онога што је у суштини Непријатељски напад у средини.

Администраторима је остављено да бирају између подједнако непривлачних опција: (1) усмеравање ДНС саобраћаја у чистом тексту без начина да сервер и клијент машина аутентификују једни друге тако да се злонамерни домени могу блокирати и мрежа надгледати, или (2) шифровање и аутентификацију ДНС саобраћаја и одбацивање контроле домена и видљивости мреже.

ЗТДНС има за циљ да реши овај деценијама стар проблем интеграцијом Виндовс ДНС мотора са Виндовс системом филтрирања – основном компонентом Виндовс заштитног зида – директно у клијентске уређаје.

Обједињавање ових раније различитих механизама омогућиће ажурирање Виндовс заштитног зида на основу имена домена, рекао је Џејк Вилијамс, потпредседник за истраживање и развој консултантске фирме Хунтер Стратегиес. Резултат је механизам који омогућава организацијама, у суштини, да кажу клијентима „да користе само наш ДНС сервер, који користи ТЛС, и који ће решавати само одређене домене“, рекао је он. Мицрософт овај ДНС сервер или сервере назива „заштитним ДНС сервером“.

Подразумевано, заштитни зид ће одбити решења за све домене осим оних наведених на листама дозвољених. Засебна листа дозвола ће садржати подмреже ИП адреса које су клијентима потребне за покретање одобреног софтвера. Кључ за обављање овог посла у обиму унутар организације са потребама које се брзо мењају. Стручњак за мрежну безбедност Ројс Вилијамс (нема везе са Џејком Вилијамсом) описао је ово као „неку врсту двосмерног АПИ-ја за слој заштитног зида, тако да можете покренути радње заштитног зида (уносом *у* заштитни зид) и покренути спољне акције које зависе на заштитном зиду Заштита стања (излаз *са* заштитног зида) Дакле, уместо да поново измишљате заштитни зид ако сте АВ добављач или нешто друго, само позовите ВФП.