Исторически повышение безопасности DNS часто означало жертвование административной прозрачностью сетевого трафика. Это заставляет администраторов выбирать между незашифрованным DNS с возможностью мониторинга, но без защиты, или зашифрованным DNS, который затрудняет мониторинг и контроль. ZTDNS от Microsoft интегрирует механизм Windows DNS и брандмауэр Windows непосредственно в клиентские устройства, чтобы решить эту проблему.

Система ZTDNS блокирует подключение клиентских устройств к любому IP-адресу, за исключением назначенных «защитных DNS-серверов». Когда клиентскому устройству необходимо разрешить доменное имя, оно связывается с защитным DNS-сервером, который при необходимости может использовать клиентские сертификаты для детального управления политикой. После разрешения ZTDNS динамически обновляет брандмауэр Windows, чтобы разрешить подключения к вновь разрешенным IP-адресам, при этом по умолчанию блокируя весь остальной трафик. Это создает мощный инструмент блокировки на основе доменного имени.

Вы можете думать об этом как о серии процессов, конечным результатом которых является то, что вы можете посещать только специально одобренные веб-сайты, создавая сверхбезопасную среду. Это отличается от обычного разрешения DNS в нескольких аспектах, а именно: способ настройки вашего DNS в настоящее время означает, что он может преобразовать любой URL-адрес в IP-адрес, даже если он известен как вредоносный (с возможными последствиями, начиная от загрузки вредоносного ПО и даже потенциальная точка входа для злоумышленника).

Существуют также потенциальные опасения по поводу того, что может произойти, когда эта технология будет фактически внедрена. Хотя это многообещающе для вашей онлайн-безопасности, вероятно, администраторам потребуется тщательное планирование и настройка, чтобы избежать случайного нарушения нормальных сетевых функций. В конце концов, DNS — это основная функция, необходимая для доступа в Интернет, и новая система может обойти и заблокировать действительно безопасные вещи, которые вам, возможно, придется использовать. Хорошо, что это еще не будет реализовано, так что еще есть немного времени, чтобы выяснить, как правильно настроить все, чтобы ваша работа в Интернете не была случайно нарушена или нарушена в процессе.

ZTDNS требует, чтобы DNS-серверы поддерживали протоколы шифрования, такие как DNS через HTTPS (DoH) или DNS через TLS (DoT). Microsoft подчеркивает, что ZTDNS не вводит никаких новых сетевых протоколов, что помогает обеспечить его широкую совместимость. По словам Microsoft, ZTDNS в настоящее время находится в «частной предварительной версии» — пока неясно, проходит ли он в данный момент только внутреннее тестирование компании или несколько избранных пользователей получат или получат к нему доступ. Microsoft не дала никаких указаний на то, когда ZTDNS может стать общедоступной, и на данный момент компания только что заявила, что инсайдеры Windows получат к нему доступ в свое время, и отдельное объявление запланировано, когда придет время.

На данный момент, если вы хотите узнать больше о ZTDNS и о том, что следует учитывать, когда придет время реального развертывания, вы можете просмотреть сообщение в блоге Microsoft со всеми подробностями.

Источник: Microsoft через Ars Technica