本周,微软公司宣布了一项新的承诺,即改善其产品的安全性,并将其置于所有其他项目之上。巧合的是,微软还宣布了一项新的安全功能,Zero Trust DNS(零信任 DNS)将被添加到未来版本的 Windows 中。
2020 年,微软宣布了面向企业的"零信任部署中心"(Zero Trust Deployment Center)。如果你不知道零信任是什么意思,它是用来描述一种网络安全模式的术语,在这种模式下,每个网络访问请求都必须经过身份验证、授权和加密后才能被允许访问。
在本周的一篇博客文章中,微软宣布已推出零信任 DNS 私有预览版。这项即将推出的 Windows 功能专为企业设计,使他们的 PC 只能连接到经过批准的网络。
零信任 DNS 同时使用 Windows DNS 客户端和 Windows 过滤平台(WFP)。启用该功能后会发生以下情况:
除了与保护 DNS 服务器的连接以及发现网络连接信息所需的 DHCP、DHCPv6 和 NDP 流量外,Windows 将阻止所有出站 IPv4 和 IPv6 流量。
微软希望在安全部署中使用零信任 DNS 的管理员能够阻止任何无法识别域名的网络流量。它还补充道:这使得使用硬编码 IP 地址或未经批准的加密 DNS 服务器变得无关紧要,而无需引入 TLS 终止,也不会错过端到端加密的安全优势。
正如我们提到的,零信任 DNS 目前处于私人预览测试阶段。不过,微软表示,在未来的某个时候,Windows Insider 计划的成员也可以试用它。
管理员如果想了解有关该功能的更多信息,可以查看这篇博文,其中介绍了使用零信任 DNS 可能会对某些应用程序和服务产生的影响: