轉載「防裝置連上惡意網域，微軟將為Windows加入零信任DNS技術」訊息

防裝置連上惡意網域，微軟將為Windows加入零信任DNS技術

微軟上周宣布一項零信任安全技術，可藉由鎖定Windows PC只能連結受信任的網域，以確保用戶及企業網路安全，未來也將整合到所有Windows中。

新技術名為零信任DNS（Zero Trust DNS，ZTDNS），微軟也預告未來的Windows都將包含。微軟解釋，ZTDNS使用開放標準為基礎的網路協定以滿足零信任要求，如OMB M-22-09及NIST SP 800-207，適用以網域名識別網路流量的管理策略。

 ZTDNS可整合Windows DNS用戶端及Windows Filtering Platform（WFP），實現以網域名為基礎的鎖定。Windows內含一組支援DoH（DNS over HTTPS）或DoT（DNS over TLS）的伺服器，名為Protective DNS Server，這些元件將只解析列在白名單中的網域名。此外Windows也可能包含一組必須常保連線的IP子網路清單，並在連線時等待Protective DNS伺服器憑證身分資訊，好確認連線連到了正確的伺服器，或是用於用戶端驗證的憑證。

 其次，具有ZTDNS的Windows將封鎖Protective DNS伺服器連線以外、以及發現網路連線資訊必要的DHCP、DHCPv6、NDP流量以外的IPv4、IPv6連線。

透過整合ZTDNS，未來從Windows PC上Protective DNS伺服器所發出任何一個包含IP解析動作的DNS回應，都會觸發連外流量的白名單檢查，這可確保使用系統DNS組態的應用程式和服務可獲得放行，連結到已解析的IP位置。反之，若應用程式和服務想對某個ZTDNS不認識（且未被手動加入例外清單）的IP位址傳送IPv4或IPv6流量時就會被封鎖。

【資安新聞-iThome/CC】

防裝置連上惡意網域，微軟將為Windows加入零信任DNS技術

詳細資訊請參考：https://www.ithome.com.tw/news/162699