Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Visão geral
Zero Trust DNS (ZTDNS) é uma funcionalidade de segurança que permite aos administradores de TI empresariais impor nativamente controlos de acesso de rede baseados em nomes de domínio nos respetivos pontos finais do Windows. Resolve a necessidade crítica de garantir que os dispositivos Windows empresariais apenas comunicam com destinos de rede fidedignos, reduzindo o risco de uma série de ataques de rede, desde a comunicação de software maligno até à transferência de dados não autorizada.
O ZTDNS é uma melhoria do cliente DNS do Windows que bloqueia todo o tráfego IP de saída do dispositivo Windows por predefinição e permite apenas o tráfego IP para destinos resolvidos pelo servidor DNS fidedigno ou explicitamente aprovados pelo administrador de TI da empresa. Quando emparelhado com um servidor DNS Protetor (PDNS) com deteção de políticas, o ZTDNS atua como o ponto de imposição de políticas no dispositivo Windows. Esta abordagem reduz a necessidade de uma inspeção profunda de pacotes ou dependência de sinais inseguros, como DNS de texto simples ou Indicação de Nome de Servidor (SNI) ao tentar determinar o nome de domínio associado ao tráfego de saída. Alinhando-se com os princípios Confiança Zero, o ZTDNS segue a abordagem "negar por predefinição e permitir por exceção por um tempo limitado".
Como funciona o Zero Trust DNS
O ZTDNS funciona através da integração do cliente DNS do Windows com a Plataforma de Filtragem do Windows (WFP) para permitir o bloqueio de rede baseado em nomes de domínio. Quando configura o ZTDNS num dispositivo Windows para utilizar servidores PDNS que suportam DNS através de HTTPS (DoH) ou DNS através de TLS (DoT), o sistema garante:
- Imposição de DNS encriptada: o cliente DNS do Windows força a utilização de DNS encriptado e envia apenas consultas para os servidores PDNS configurados
- Apenas tráfego aprovado: o tráfego de saída só é permitido para endereços IP resolvidos por estes servidores PDNS fidedignos ou para intervalos IP com exceções manuais configuradas pelo administrador de TI da empresa
- Denial predefinido: todo o outro tráfego de saída IPv4 e IPv6 está bloqueado por predefinição, aderindo ao princípio "negar por predefinição" do Confiança Zero
- Registo de ligações: o dispositivo mantém um registo abrangente de tentativas de ligações de saída para monitorização e resolução de problemas
Processo de fluxo de tráfego quando o ZTDNS está configurado num dispositivo Windows
Bloqueio inicial: o Windows bloqueia todo o tráfego IPv4 e IPv6 de saída, exceto as ligações aos servidores DNS de Proteção configurados, intervalos DE IP explicitamente permitidos e tráfego de deteção de rede essencial (DHCP, DHCPv6 e NDP)
Resolução de DNS: quando as aplicações precisam de se ligar a um destino, consultam os servidores PDNS fidedignos através de canais encriptados (DoH ou DoT)
Listagem de permissões dinâmica: as respostas DNS de servidores PDNS que contêm resoluções de endereços IP acionam exceções de saída para esses endereços IP específicos durante um período de tempo especificado
Imposição de tráfego: as aplicações podem ligar-se aos endereços IP resolvidos, enquanto as ligações a quaisquer outros endereços IP são bloqueadas, a menos que estejam na lista de exceções manuais
Benefícios à segurança
O ZTDNS proporciona vantagens de segurança significativas ao abordar várias ameaças baseadas na rede:
Proteção contra sequestro de DNS
Ao garantir que apenas são utilizadas resoluções DNS de servidores PDNS fidedignos, o ZTDNS ajuda a impedir que os maus atores redirecionem o tráfego para sites maliciosos através de ataques de sequestro de DNS.
Prevenção de comunicações maliciosas
Permitir apenas ligações de saída a endereços IP resolvidos através de consultas DNS fidedignas ajuda a interromper tentativas de phishing e impede que os stagers e os beacons de software maligno não administrativos comuniquem com servidores de comandos e controlo.
Mitigação da transferência de dados não autorizada
Restringir o tráfego de saída para domínios aprovados reduz o risco de transmissão de dados confidenciais para destinos não autorizados sem necessidade de análise de padrões de resolução de nomes de domínio.
Suporta a encriptação ponto a ponto
Ao contrário da filtragem de rede tradicional que se baseia em sinais de texto simples ou inspeção profunda de pacotes, o ZTDNS é eficaz mesmo quando o tráfego DNS e o SNI são encriptados, fornecendo controlos de segurança à prova de futuro.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam Zero Trust DNS (ZTDNS):
| Windows 11 Home | Windows 11 Pro | Windows 11 Enterprise | Windows 11 Education |
|---|---|---|---|
| Não | Não | Sim | Sim |
Zero Trust DNS (ZTDNS) os direitos de licença são concedidos pelas seguintes licenças:
| Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.