Historisch gesehen bedeutete die Verbesserung der DNS-Sicherheit oft, dass die administrative Transparenz des Netzwerkverkehrs verloren ging. Dies zwingt Administratoren dazu, zwischen unverschlüsseltem DNS mit Überwachungsfunktion, aber ohne Schutz oder verschlüsseltem DNS zu wählen, das Überwachung und Kontrolle verdeckt. ZTDNS von Microsoft integriert die Windows-DNS-Engine und die Windows-Firewall direkt in Clientgeräte, um dieses Problem zu lösen.

Das ZTDNS-System verhindert, dass Clientgeräte eine Verbindung zu einer beliebigen IP-Adresse herstellen, mit Ausnahme derjenigen von designierten „schützenden DNS-Servern“. Wenn ein Client-Gerät einen Domänennamen auflösen muss, kommuniziert es mit einem schützenden DNS-Server, der optional Client-Zertifikate für eine detaillierte Richtliniensteuerung verwenden kann. Nach der Auflösung aktualisiert ZTDNS die Windows-Firewall dynamisch, um Verbindungen zu den neu aufgelösten IP-Adressen zuzulassen, während der gesamte andere Datenverkehr standardmäßig blockiert wird. Dadurch entsteht ein leistungsstarkes, auf Domainnamen basierendes Sperrtool.

Sie können sich dies als eine Reihe von Prozessen vorstellen, bei denen das Endergebnis darin besteht, dass Sie nur Websites besuchen können, die ausdrücklich genehmigt wurden, wodurch eine supersichere Umgebung entsteht. Dies unterscheidet sich in einigen Punkten von der regulären DNS-Auflösung: Die Art und Weise, wie Ihr DNS derzeit eingerichtet ist, bedeutet, dass es jede URL in eine IP-Adresse auflösen kann, selbst wenn sie als bösartig bekannt ist (mit möglichen Konsequenzen, die vom Herunterladen von Malware bis hin zu …) reichen ein potenzieller Einstiegspunkt für einen böswilligen Akteur).

Es bestehen auch potenzielle Bedenken darüber, was passieren könnte, wenn diese Technologie tatsächlich eingesetzt wird. Obwohl dies eine vielversprechende Sache für Ihre Online-Sicherheit ist, erfordert es wahrscheinlich auch eine sorgfältige Planung und Konfiguration durch Administratoren, um eine versehentliche Störung der normalen Netzwerkfunktionen zu vermeiden. Schließlich ist DNS eine Kernfunktion, die für den Internetzugang benötigt wird, und das neue System könnte eigentlich nicht schädliche Dinge, die Sie möglicherweise verwenden müssen, übergreifen und blockieren. Das Gute ist, dass dies noch nicht eingeführt wird. Sie haben also noch etwas Zeit, um herauszufinden, wie Sie die Dinge richtig einrichten, damit Ihr Interneterlebnis dabei nicht versehentlich unterbrochen oder gestört wird.

ZTDNS erfordert, dass DNS-Server Verschlüsselungsprotokolle wie DNS über HTTPS (DoH) oder DNS über TLS (DoT) unterstützen. Microsoft betont, dass ZTDNS keine neuen Netzwerkprotokolle einführt, was zu einer weitgehenden Kompatibilität beiträgt. Laut Microsoft befindet sich ZTDNS derzeit in der „privaten Vorschau“ – es ist nicht sofort klar, ob es derzeit nur intern vom Unternehmen getestet wird oder ob einige ausgewählte Benutzer Zugriff darauf erhalten bzw. erhalten werden. Microsoft hat keinen Hinweis darauf gegeben, wann ZTDNS öffentlich verfügbar sein könnte, und vorerst hat das Unternehmen nur gesagt, dass Windows-Insider zu ihrem eigenen Zeitpunkt Zugriff darauf erhalten werden, wobei zu gegebener Zeit eine separate Ankündigung geplant ist.

Wenn Sie vorerst mehr über ZTDNS und darüber erfahren möchten, was bei einer tatsächlichen Bereitstellung zu beachten ist, können Sie sich den Blog-Beitrag von Microsoft mit allen Details ansehen.

Quelle: Microsoft über Ars Technica