ZTDNS von Microsoft könnte die Sicherheit von Windows-Netzwerken erhöhen

DNS ist eine der größten Schwachstellen in den Netzwerken unserer Geräte. Es wird oft unverschlüsselt verwendet, was ein Problem darstellt, wenn DNS für die Umwandlung von Webadressen in die erforderlichen Server-IP-Adressen zuständig ist. Microsoft plant nun einige Änderungen an Windows, die DNS sicherer und weniger anfällig für Manipulationen machen könnten.

Microsoft hat ein umfassendes neues Sicherheitssystem mit der Bezeichnung Zero Trust DNS (kurz ZTDNS) vorgestellt, das die Sicherheit des Domain Name System (DNS) in Windows-Netzwerken deutlich erhöhen soll. DNS, das für die Übersetzung von menschenfreundlichen Website-Namen in numerische IP-Adressen unerlässlich ist, war lange Zeit von Sicherheitsrisiken geplagt. ZTDNS verspricht, dieses Problem zu lösen, indem es verschlüsselte und authentifizierte Kommunikationskanäle zwischen Client-Geräten und DNS-Servern bereitstellt und gleichzeitig Administratoren die Möglichkeit gibt, genau zu kontrollieren, welche Domänen diese Server auflösen können.

In der Vergangenheit bedeutete die Verbesserung der DNS-Sicherheit oft, dass der administrative Einblick in den Netzwerkverkehr geopfert werden musste. Dies zwingt Administratoren dazu, zwischen unverschlüsseltem DNS mit Überwachungsfunktion, aber ohne Schutz, und verschlüsseltem DNS zu wählen, das Überwachung und Kontrolle ausblendet. Microsofts ZTDNS integriert die Windows DNS-Engine und die Windows Firewall direkt in die Client-Geräte, um dieses Problem zu lösen.

Das ZTDNS-System verhindert, dass Client-Geräte eine Verbindung zu einer beliebigen IP-Adresse herstellen, mit Ausnahme derjenigen von ausgewiesenen "schützenden DNS-Servern" Wenn ein Client-Gerät einen Domänennamen auflösen muss, kommuniziert es mit einem schützenden DNS-Server, der optional Client-Zertifikate für eine feinkörnige Richtlinienkontrolle verwenden kann. Nach der Auflösung aktualisiert ZTDNS dynamisch die Windows-Firewall, um Verbindungen zu den neu aufgelösten IP-Adressen zuzulassen, während der gesamte andere Datenverkehr standardmäßig blockiert wird. Auf diese Weise entsteht ein leistungsfähiges, auf Domänennamen basierendes Lockdown-Tool.

Sie können sich dies als eine Reihe von Prozessen vorstellen, deren Endergebnis darin besteht, dass Sie nur Websites besuchen können, die speziell genehmigt wurden, wodurch eine äußerst sichere Umgebung geschaffen wird. Dies unterscheidet sich in einigen Punkten von der normalen DNS-Auflösung: Die Art und Weise, wie Ihr DNS derzeit eingerichtet ist, bedeutet, dass es jede URL in eine IP-Adresse auflösen kann, selbst wenn sie als bösartig bekannt ist (mit möglichen Folgen, die vom Herunterladen von Malware bis hin zu einem potenziellen Einstiegspunkt für einen bösartigen Akteur reichen).

Es gibt auch potenzielle Bedenken darüber, was passieren könnte, wenn diese Technologie tatsächlich eingesetzt wird. Sie ist zwar vielversprechend für Ihre Online-Sicherheit, erfordert aber wahrscheinlich auch eine sorgfältige Planung und Konfiguration durch die Administratoren, um eine versehentliche Unterbrechung der normalen Netzwerkfunktionen zu vermeiden. Schließlich ist DNS eine Kernfunktion, die für den Internetzugang benötigt wird, und das neue System könnte zu weit gehen und eigentlich unschädliche Dinge blockieren, die Sie vielleicht brauchen. Das Gute daran ist, dass das neue System noch nicht eingeführt wird. Sie haben also noch etwas Zeit, um herauszufinden, wie Sie es richtig einrichten können, damit Ihr Internetzugang nicht versehentlich unterbrochen oder gestört wird.

ZTDNS erfordert, dass DNS-Server Verschlüsselungsprotokolle wie DNS über HTTPS (DoH) oder DNS über TLS (DoT) unterstützen. Microsoft hebt hervor, dass ZTDNS keine neuen Netzwerkprotokolle einführt, was dazu beiträgt, dass es weitgehend kompatibel ist. Laut Microsoft befindet sich ZTDNS derzeit in einer "privaten Vorschau" - es ist nicht sofort klar, ob es derzeit nur intern vom Unternehmen getestet wird oder ob nur einige ausgewählte Benutzer Zugang dazu erhalten werden. Microsoft hat keinen Hinweis darauf gegeben, wann ZTDNS öffentlich verfügbar sein wird, und im Moment hat das Unternehmen nur gesagt, dass Windows Insider zu ihrer eigenen Zeit Zugang dazu erhalten werden, wobei eine separate Ankündigung geplant ist, wenn es soweit ist.

Wenn Sie mehr über ZTDNS erfahren möchten und wissen möchten, was zu beachten ist, wenn es an der Zeit ist, ZTDNS in der Praxis einzusetzen, können Sie sich den Blogbeitrag von Microsoft mit allen Details ansehen.

Quelle: Microsoft über Ars Technica