微軟宣布零信任DNS安全技術,可藉由鎖定Windows PC只能連結受信任的網域,以確保用戶網路安全
文/林妍溱 | 2024-05-06發表
微軟上周宣布一項零信任安全技術,可藉由鎖定Windows PC只能連結受信任的網域,以確保用戶及企業網路安全,未來也將整合到所有Windows中。
新技術名為零信任DNS(Zero Trust DNS,ZTDNS),微軟也預告未來的Windows都將包含。微軟解釋,ZTDNS使用開放標準為基礎的網路協定以滿足零信任要求,如OMB M-22-09及NIST SP 800-207,適用以網域名識別網路流量的管理策略。
ZTDNS可整合Windows DNS用戶端及Windows Filtering Platform(WFP),實現以網域名為基礎的鎖定。Windows內含一組支援DoH(DNS over HTTPS)或DoT(DNS over TLS)的伺服器,名為Protective DNS Server,這些元件將只解析列在白名單中的網域名。此外Windows也可能包含一組必須常保連線的IP子網路清單,並在連線時等待Protective DNS伺服器憑證身分資訊,好確認連線連到了正確的伺服器,或是用於用戶端驗證的憑證。
其次,具有ZTDNS的Windows將封鎖Protective DNS伺服器連線以外、以及發現網路連線資訊必要的DHCP、DHCPv6、NDP流量以外的IPv4、IPv6連線。
透過整合ZTDNS,未來從Windows PC上Protective DNS伺服器所發出任何一個包含IP解析動作的DNS回應,都會觸發連外流量的白名單檢查,這可確保使用系統DNS組態的應用程式和服務可獲得放行,連結到已解析的IP位置。反之,若應用程式和服務想對某個ZTDNS不認識(且未被手動加入例外清單)的IP位址傳送IPv4或IPv6流量時就會被封鎖。
圖片來源/微軟
但是Windows中的DNS伺服器若想扮演Zero Trust DNS角色,最基本要求是要能支援DoH或DoT,因為ZTNDS會拒絕Windows的明碼DNS連線。而在加密DNS連線上使用mTLS(mutual TLS,雙向驗證TLS)後,可允許Protective DNS按個別用戶端設定解析政策。微軟說,ZTDNS不使用新的網路協定,可確保其高相容性。
ZTDNS現在為限制性預覽階段,微軟說之後等更多用戶獲得ZTDNS用戶端後,會再進一步擴大測試。
但微軟也說明ZTDNS可能會影響一些現有安全性較低的連線。由於封鎖了所有無法判讀網域名的連外流量,因此一些網路協定包括mDNS、LLMNR、NetBIOS Name Resolution、UPnP和WebRTC等會失去作用。其中有些可以藉由定義一些例外IP子網路重新開啟,但那些無法預先得知IP的連線就是無解了。
但微軟也提醒,列出例外IP白名單有二個需要考量的地方。一是必須精簡,免得白名單太長,二是只限全球獨一無二的IP位址,免得不同網域有相同IP位址的主機。
精選專案.網頁設計.RWD響應式網站.行動版網站 / 服務類
網站技術:Javascript
智慧財產局為提供使用者線上申請專利商標,以及商標申請進度查詢等服務,因此特別規劃此系統讓大眾更為便利,包含的業務申請、繳費、查詢到線上協助等眾多智慧財產權相關的服務內容。
精選專案.網頁設計.RWD響應式網站.活動網站 / 醫療衛生類
網站技術:PHP . Javascript/MySql
你能相信每天上傳測量資料就可以獲得點數嗎? 搭配歐姆龍的血壓計或體脂計每日測量,在APP更新紀錄就可以獲得點數,可以透過點數兌換商品或是抽獎。
精選專案.APP / 休閒餐飲類
網站技術:PHP . iOS . Android/MySql
勝博殿兌換推出APP版,讓使用者隨時使用APP確認點數、查詢門市...等等。可以隨時隨地的查詢目前使用多少點數。也可以在下次用餐時可以兌換餐點。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策