<p>微软日前宣布推出基于开放标准的零信任技术 ZTDNS (即 Zero Trust DNS)，这种新型 DNS 技术将在 Windows 11 及后续版本中使用，对企业安全和企业 IT 管理员来说是个值得关注但可能需要对基础设施进行改造的新技术。</p><p><strong>传统 DNS 技术在企业安全中存在的问题：</strong></p><p>在大型企业内部通常会配置防火墙用来过滤不安全的流量，要实现识别和过滤那就必须破坏 DNS 加密或使用不加密的 DNS 等方式，例如 53 端口或通过 SNI 检查。</p><p>破坏 DNS 加密后确实可以识别内网员工要访问的地址，但破坏加密本身也是会弱化安全性，不利于企业继续提高网络安全性，例如在全部使用非加密 DNS 的情况下，黑客可以潜伏并窥探企业员工访问的各种地址。</p><img data-reference="image" src="https://img-s-msn-com.akamaized.net/tenant/amp/entityid/BB1lQ4i0"><p><strong>ZTDNS 是如何工作的：</strong></p><p>ZTDNS 集成 Windows DNS 客户端和 WFP 过滤平台，实现基于域名的锁定，在实际工作时，首先 Windows 会配备一组支持 DoH 或 DoT 的加密 DNS 服务器确保数据都是加密状态。</p><p>其次 IT 管理员可以在管理中心配置白名单，即所有允许访问的域名、IPv4、IPv6、UDP 端口等信息，在实际访问中 ZTDNS 先将要访问的信息生成特征码然后发送到加密后的 ZTDNS 中，ZTDNS 检查要加载的域名或 IP 等信息是否在匹配列表中。</p><p>如果成功匹配则允许 ZTDNS 解析域名并进行访问，反之则会阻断连接，这样 DoH 或 DoT 加密没有被破坏，淮安绿佳环保用户访问的所有流量从解析到完成握手全部都是加密的。</p><p><strong>未来 ZTDNS 将会在 Windows 11 及后续版本中默认使用：</strong></p><p>现阶段 ZTDNS 还在私人预览阶段，即仅有收到邀请的客户才能使用，当推出 Insider 公共预览时微软将发布通知，到时候企业 IT 管理员即可进行部署测试。</p><p>值得注意的是微软已经透露将在 ZTDNS 将在 Windows 11 及后续版本中默认使用，当然这对消费者来说不会有什么影响，毕竟 ZTDNS 需要手动配置，不配置那就是没有任何访问限制。</p><p>唯一要求是 ZTDNS 不再支持纯文本 DNS，也就是必须使用 DNS over HTTPS 或 DNS over TLS，这个到时候应该也可以禁用。</p><p><strong>对 IT 管理员来说是个麻烦的工作：</strong></p><p>ZTDNS 从技术原理上说可以大幅度提高安全性并增强内部网络的管控，不过到时候 IT 管理员进行改造的时候应该会比较麻烦，需要配置大量信息例如白名单域名、端口、IP 地址，部分协议例如 RDNSS 等可能也不会支持，所以 IT 管理员可能要经过充分的测试后再考虑是否部署，以免影响某些协议的正常使用。</p>

这是一部欢快而又带着忧伤和怅惘的小说，一部不仅仅是写给孩子而是所有人的小说——这是作家薛涛最近出版的儿童小说《桦皮船》带给笔者的印象。

：