Microsoft prévoit de verrouiller le DNS Windows comme jamais auparavant. Voici comment procéder. | Dmshaulers

Microsoft prévoit de verrouiller le DNS Windows comme jamais auparavant.  Voici comment procéder.

Getty Images

La traduction de noms de domaine lisibles par l’homme en adresses IP numériques comporte depuis longtemps de nombreux risques de sécurité. Après tout, les publications sont rarement chiffrées de bout en bout. Les serveurs qui effectuent des recherches de noms de domaine fournissent des traductions pour pratiquement toutes les adresses IP, même lorsqu’elles sont connues pour être malveillantes. Et de nombreux appareils d’utilisateurs finaux peuvent facilement être configurés pour cesser d’utiliser des serveurs de recherche autorisés et utiliser à la place des serveurs malveillants.

Microsoft a livré vendredi un regarder sur un cadre complet qui vise à trier l’encombrement dans le système de noms de domaine (DNS) afin qu’il soit mieux verrouillé dans les réseaux Windows. Il s’appelle ZTDNS (Zero Trust DNS). Ses deux fonctionnalités principales sont (1) les connexions cryptées et authentifiées cryptographiquement entre les clients des utilisateurs finaux et les serveurs DNS, et (2) la possibilité pour les administrateurs de limiter les domaines que ces serveurs résoudront.

Déminer le champ de mines

L’une des raisons pour lesquelles le DNS constitue un tel champ de mines en matière de sécurité est que ces deux fonctions peuvent s’exclure mutuellement. L’ajout d’une authentification cryptographique et d’un chiffrement au DNS obscurcit souvent la visibilité nécessaire aux administrateurs pour empêcher les appareils des utilisateurs de se connecter à des domaines malveillants ou de détecter un comportement anormal au sein d’un réseau. En conséquence, le trafic DNS est soit envoyé en texte clair, soit chiffré de manière à permettre aux administrateurs de le déchiffrer lors de son transit via ce qui est essentiellement un serveur DNS. attaque de l’adversaire au milieu.

Les administrateurs peuvent choisir entre des options tout aussi peu attrayantes : (1) acheminer le trafic DNS en texte clair sans que le serveur et le périphérique client ne puissent s’authentifier mutuellement, afin que les domaines malveillants puissent être bloqués et que la surveillance du réseau soit possible, ou (2) chiffrer et authentifiez le trafic DNS et supprimez le contrôle de domaine et la visibilité du réseau.

ZTDNS vise à résoudre ce problème vieux de plusieurs décennies en intégrant le moteur DNS Windows à la plate-forme de filtrage Windows – le composant principal du pare-feu Windows – directement dans les appareils clients.

Jake Williams, vice-président de la recherche et du développement chez Hunter Strategies, a déclaré que l’union de ces moteurs auparavant disparates permettrait d’effectuer des mises à jour du pare-feu Windows sur la base d’un nom de domaine. Le résultat, a-t-il déclaré, est un mécanisme qui permet aux organisations de dire essentiellement aux clients “de n’utiliser que notre serveur DNS qui utilise TLS et ne résoudra que certains domaines”. Microsoft appelle ce ou ces serveurs DNS le « serveur DNS protecteur ».

Par défaut, le pare-feu rejettera les résolutions sur tous les domaines, à l’exception de ceux énumérés dans les listes vertes. Une liste blanche distincte contiendra les sous-réseaux d’adresses IP que les clients doivent utiliser pour exécuter le logiciel approuvé. La clé pour que cela fonctionne à grande échelle dans une organisation dont les besoins évoluent rapidement. L’expert en sécurité réseau Royce Williams (aucun lien avec Jake Williams) a appelé cela une « sorte d’API bidirectionnelle pour la couche de pare-feu, de sorte que vous pouvez à la fois déclencher des actions de pare-feu (en entrée *dans* le pare-feu) et déclencher des actions externes basées sur le état du pare-feu (sortie *du* pare-feu) Ainsi, au lieu d’avoir à réinventer la roue du pare-feu, si vous êtes un fournisseur audiovisuel ou autre, vous vous connectez simplement au PAM.

Leave a Reply

Your email address will not be published. Required fields are marked *