Historiquement, l'amélioration de la sécurité DNS impliquait souvent de sacrifier la visibilité administrative sur le trafic réseau. Cela oblige les administrateurs à choisir entre un DNS non chiffré avec une capacité de surveillance mais manquant de protection, ou un DNS chiffré qui aveugle la surveillance et le contrôle. Le ZTDNS de Microsoft intègre le moteur DNS Windows et le pare-feu Windows directement dans les appareils clients pour résoudre ce problème.
Le système ZTDNS empêche les appareils clients de se connecter à n'importe quelle adresse IP, à l'exception de celles des « serveurs DNS de protection » désignés. Lorsqu'un appareil client doit résoudre un nom de domaine, il communique avec un serveur DNS de protection, qui peut éventuellement utiliser des certificats clients pour un contrôle précis des politiques. Lors de la résolution, ZTDNS met à jour dynamiquement le pare-feu Windows pour autoriser les connexions aux adresses IP nouvellement résolues, tout en bloquant tout autre trafic par défaut. Cela crée un puissant outil de verrouillage basé sur le nom de domaine.
Vous pouvez considérer cela comme une série de processus dont le résultat final est que vous ne pouvez visiter que des sites Web spécifiquement approuvés, créant ainsi un environnement ultra-sécurisé. Cela diffère de la résolution DNS classique de plusieurs manières : à savoir, la façon dont votre DNS est actuellement configuré signifie qu'il peut résoudre n'importe quelle URL en adresse IP, même si elle est connue pour être malveillante (avec des conséquences possibles allant du téléchargement de logiciels malveillants à même un point d’entrée potentiel pour un acteur malveillant).
Il existe également des inquiétudes potentielles quant à ce qui pourrait se produire lorsque cette technologie sera effectivement déployée. Bien que ce soit une chose prometteuse pour votre sécurité en ligne, cela nécessitera probablement aussi une planification et une configuration minutieuses de la part des administrateurs pour éviter une interruption accidentelle des fonctions normales du réseau. Après tout, le DNS est une fonctionnalité essentielle nécessaire à l’accès à Internet, et le nouveau système pourrait aller trop loin et bloquer les éléments réellement non nuisibles que vous pourriez avoir besoin d’utiliser. La bonne nouvelle est que cela ne sera pas encore déployé, il reste donc encore un peu de temps pour comprendre comment configurer correctement les choses afin que votre expérience Internet ne soit pas accidentellement interrompue ou perturbée au cours du processus.
ZTDNS nécessite que les serveurs DNS prennent en charge les protocoles de chiffrement tels que DNS sur HTTPS (DoH) ou DNS sur TLS (DoT). Microsoft souligne que ZTDNS n'introduit aucun nouveau protocole réseau, ce qui contribue à le rendre largement compatible. ZTDNS est actuellement en « aperçu privé », selon Microsoft. Il n'est pas immédiatement clair s'il est uniquement testé en interne par l'entreprise pour le moment ou si quelques utilisateurs sélectionnés y auront/y auront accès. Microsoft n'a donné aucune indication sur le moment où ZTDNS pourrait devenir accessible au public, et pour l'instant, la société vient de dire que les Windows Insiders y auront accès à leur propre moment, avec une annonce distincte prévue le moment venu.
Pour l'instant, si vous souhaitez en savoir plus sur ZTDNS et ce qu'il faut prendre en compte lorsque vient le temps d'un déploiement réel, vous pouvez consulter le billet de blog de Microsoft avec tous les détails.
Source : Microsoft via Ars Technica
Clause de non-responsabilité: Toutes les ressources fournies proviennent en partie d'Internet. En cas de violation de vos droits d'auteur ou d'autres droits et intérêts, veuillez expliquer les raisons détaillées et fournir une preuve du droit d'auteur ou des droits et intérêts, puis l'envoyer à l'adresse e-mail : [email protected]. Nous nous en occuperons pour vous dans les plus brefs délais.
Copyright© 2022 湘ICP备2022001581号-3