Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vue d'ensemble
Zero Trust DNS (ZTDNS) est une fonctionnalité de sécurité qui permet aux administrateurs informatiques d’entreprise d’appliquer en mode natif des contrôles d’accès réseau basés sur les noms de domaine sur leurs points de terminaison Windows. Il répond au besoin essentiel de s’assurer que les appareils Windows d’entreprise communiquent uniquement avec des destinations réseau approuvées, ce qui réduit le risque d’une série d’attaques réseau, de la communication de programmes malveillants à l’exfiltration de données.
ZTDNS est une amélioration du client DNS Windows qui bloque tout le trafic IP sortant de l’appareil Windows par défaut et autorise uniquement le trafic IP vers les destinations résolues par le serveur DNS approuvé ou explicitement approuvées par l’administrateur informatique de l’entreprise. Lorsqu’il est associé à un serveur DNS de protection (PDNS) prenant en charge les stratégies, ZTDNS agit en tant que point d’application de stratégie sur l’appareil Windows. Cette approche réduit la nécessité d’une inspection approfondie des paquets ou la dépendance à l’égard de signaux non sécurisés tels que le DNS en texte brut ou l’indication de nom de serveur (SNI) lors de la tentative de déterminer le nom de domaine associé au trafic sortant. En s’alignant sur les principes Confiance nulle, ZTDNS suit l’approche « refuser par défaut et autoriser par exception pendant une durée limitée ».
Fonctionnement de Zero Trust DNS
ZTDNS fonctionne en intégrant le client DNS Windows à la plateforme de filtrage Windows (PAM) pour activer le verrouillage du réseau basé sur les noms de domaine. Lorsque vous configurez ZTDNS sur un appareil Windows pour utiliser des serveurs PDNS qui prennent en charge DNS sur HTTPS (DoH) ou DNS sur TLS (DoT), le système garantit :
- Application du DNS chiffré : le client DNS Windows force l’utilisation du DNS chiffré et envoie des requêtes uniquement aux serveurs PDNS configurés
- Trafic approuvé uniquement : le trafic sortant est autorisé uniquement vers les adresses IP résolues par ces serveurs PDNS approuvés ou vers des plages d’adresses IP avec des exceptions manuelles configurées par l’administrateur informatique de l’entreprise
- Déni par défaut : tout le trafic sortant IPv4 et IPv6 est bloqué par défaut, conformément au principe de refus par défaut de Confiance nulle
- Journalisation des connexions : l’appareil tient à jour un journal complet des tentatives de connexions sortantes pour la surveillance et la résolution des problèmes
Processus de flux de trafic lorsque ZTDNS est configuré sur un appareil Windows
Verrouillage initial : Windows bloque tout le trafic IPv4 et IPv6 sortant, à l’exception des connexions aux serveurs DNS de protection configurés, des plages d’adresses IP explicitement autorisées et du trafic de découverte réseau essentiel (DHCP, DHCPv6 et NDP)
Résolution DNS : lorsque les applications doivent se connecter à une destination, elles interrogent les serveurs PDNS approuvés via des canaux chiffrés (DoH ou DoT)
Liste verte dynamique : les réponses DNS des serveurs PDNS qui contiennent des résolutions d’adresses IP déclenchent des exceptions sortantes pour ces adresses IP spécifiques pendant une durée spécifiée
Application du trafic : les applications peuvent ensuite se connecter aux adresses IP résolues, tandis que les connexions à d’autres adresses IP sont bloquées, sauf si elles figurent dans la liste des exceptions manuelles
Avantages en matière de sécurité
ZTDNS offre des avantages significatifs en matière de sécurité en répondant à diverses menaces réseau :
Protection contre le détournement dns
En veillant à ce que seules les résolutions DNS des serveurs PDNS approuvés soient utilisées, ZTDNS permet d’empêcher les acteurs malveillants de rediriger le trafic vers des sites malveillants via des attaques de détournement DNS.
Prévention des communications malveillantes
Autoriser uniquement les connexions sortantes aux adresses IP résolues par le biais de requêtes DNS approuvées permet d’interrompre les tentatives d’hameçonnage et empêche les balises et les intermédiaires de programmes malveillants non administratifs de communiquer avec les serveurs de commande et de contrôle.
Atténuation de l’exfiltration de données
La restriction du trafic sortant vers des domaines approuvés réduit le risque de transmission de données sensibles vers des destinations non autorisées sans nécessiter l’analyse des modèles de résolution de noms de domaine.
Prend en charge le chiffrement de bout en bout
Contrairement au filtrage réseau traditionnel qui s’appuie sur des signaux en texte brut ou une inspection approfondie des paquets, ZTDNS est efficace même lorsque le trafic DNS et SNI sont chiffrés, fournissant des contrôles de sécurité à l’avenir.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Zero Trust DNS (ZTDNS) :
| Windows 11 Famille | Windows 11 Professionnel | Windows 11 Entreprise | Windows 11 Éducation |
|---|---|---|---|
| Non | Non | Oui | Oui |
Les droits de licence Zero Trust DNS (ZTDNS) sont accordés par les licences suivantes :
| Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|
| Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.