概觀
Zero Trust DNS (ZTDNS) 是一項安全功能,使企業 IT 管理員能在其 Windows 端點上原生執行基於網域名稱的網路存取控制。 它解決了確保企業 Windows 裝置僅與受信任的網路目的地通訊的關鍵需求,降低從惡意軟體通訊到資料外洩等多種網路攻擊的風險。
ZTDNS 是 Windows DNS 用戶端的擴充,預設阻擋 Windows 裝置的所有外撥 IP 流量,僅允許由受信任的 DNS 伺服器解析或企業 IT 管理員明確核准的目的地的 IP 流量。 當與具政策感知的 PDNS (PDNS) 伺服器搭配時,ZTDNS 作為 Windows 裝置上的政策強制執行點。 此方法減少了深度封包檢查或依賴不安全訊號(如明文DNS或伺服器名稱指示 (SNI) ,以確定與出站流量相關的網域名稱。 遵循零信任原則,ZTDNS 採用「預設拒絕,並以例外允許有限時間」的做法。
Zero Trust DNS 的運作原理
ZTDNS 透過整合 Windows DNS 用戶端與 WFP) (Windows 過濾平台來實現基於網域名稱的網路鎖定。 當你在 Windows 裝置上設定 ZTDNS 以使用 支援 DNS over HTTPS (DoH) 或 DNS over TLS (DoT) 的 PDNS 伺服器時,系統會確保:
- 加密 DNS 強制執行:Windows DNS 用戶端強制使用加密 DNS,並僅向已設定的 PDNS 伺服器發送查詢
- 僅限核准流量:出站流量僅允許至這些受信任的 PDNS 伺服器解析的 IP 位址,或由企業 IT 管理員手動設定例外的 IP 範圍
- 預設拒絕:所有其他 IPv4 和 IPv6 外發流量預設被封鎖,遵循「預設拒絕」原則的零信任原則
- 連線記錄:裝置會完整記錄嘗試外撥連線的紀錄,以便監控與排除故障
當 Windows 裝置設定 ZTDNS 時的流量流程
初期封鎖:Windows 封鎖所有外出 IPv4 和 IPv6 流量,僅允許連接已設定的保護 DNS 伺服器、明確允許的 IP 範圍,以及 (DHCP、DHCPv6 和 NDP) 的必要網路發現流量
DNS 解析:當應用程式需要連接目的地時,會透過加密通道 (DoH 或 DoT) 查詢受信任的 PDNS 伺服器
動態允許列表:來自 PDNS 伺服器且包含 IP 位址解析的 DNS 回應,會在指定時間內觸發該特定 IP 位址的外出允許例外
流量強制執行:應用程式可連接已解析的 IP 位址,而其他 IP 位址的連線則被封鎖,除非該 IP 在手動例外清單中
安全性優點
ZTDNS 透過解決各種基於網路的威脅,提供顯著的安全優勢:
DNS 劫持防護
透過確保只使用來自受信任 PDNS 伺服器的 DNS 解析,ZTDNS 有助於防止惡意行為者透過 DNS 劫持攻擊將流量導向惡意網站。
惡意通訊防範
只允許透過受信任的 DNS 查詢解決的 IP 位址進行外撥連線,有助於阻斷網路釣魚攻擊,並防止非管理的惡意軟體設置器與信標與指揮與控制伺服器通訊。
資料外洩緩解
限制外撥流量至核准網域,可降低敏感資料傳送至未經授權目的地的風險,而無需分析網域名稱解析模式。
支援端對端加密
與依賴明文訊號或深度封包檢查的傳統網路過濾不同,ZTDNS 即使 DNS 流量與 SNI 加密,仍有效,提供未來安全控管。
Windows 版本和授權需求
下表列出支援 Zero Trust DNS (ZTDNS) 的 Windows 版本:
| Windows 11 家用版 | Windows 11 專業版 | Windows 11 企業版 | Windows 11 教育版 |
|---|---|---|---|
| 否 | 否 | 是 | 是 |
Zero Trust DNS (ZTDNS) 授權由以下授權授予:
| Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。