Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Zero Trust DNS (ZTDNS) ist ein Sicherheitsfeature, mit dem IT-Administratoren im Unternehmen domänennamenbasierte Netzwerkzugriffssteuerungen für ihre Windows-Endpunkte nativ erzwingen können. Es erfüllt die kritische Notwendigkeit, sicherzustellen, dass Windows-Unternehmensgeräte nur mit vertrauenswürdigen Netzwerkzielen kommunizieren, wodurch das Risiko einer Reihe von Netzwerkangriffen von der Schadsoftwarekommunikation bis zur Datenexfiltration verringert wird.
ZTDNS ist eine Erweiterung des Windows DNS-Clients, der standardmäßig den gesamten ausgehenden IP-Datenverkehr vom Windows-Gerät blockiert und nur IP-Datenverkehr zu Zielen zulässt, die vom vertrauenswürdigen DNS-Server aufgelöst oder vom IT-Administrator des Unternehmens explizit genehmigt wurden. Wenn ZTDNS mit einem richtlinienfähigen Schutz-DNS-Server (PDNS) gekoppelt wird, fungiert ZTDNS als Richtlinienerzwingungspunkt auf dem Windows-Gerät. Dieser Ansatz reduziert die Notwendigkeit einer umfassenden Paketüberprüfung oder der Abhängigkeit von unsicheren Signalen wie Klartext-DNS oder Servernamensanzeige (Server Name Indication, SNI), wenn versucht wird, den Domänennamen zu ermitteln, der mit dem ausgehenden Datenverkehr verknüpft ist. In Übereinstimmung mit den Zero Trust Prinzipien folgt ZTDNS dem Ansatz "Standardmäßig verweigern und durch Ausnahme für einen begrenzten Zeitraum zulassen".
Funktionsweise von Zero Trust DNS
ZTDNS integriert den Windows DNS-Client in die Windows-Filterplattform (Windows Filtering Platform, WFP), um domänennamenbasierte Netzwerksperren zu aktivieren. Wenn Sie ZTDNS auf einem Windows-Gerät für die Verwendung von PDNS-Servern konfigurieren, die DNS über HTTPS (DoH) oder DNS über TLS (DoT) unterstützen, stellt das System Folgendes sicher:
- Erzwingung verschlüsselter DNS-Instanzen: Der Windows DNS-Client erzwingt die Verwendung von verschlüsselten DNS und sendet Abfragen nur an die konfigurierten PDNS-Server.
- Nur genehmigter Datenverkehr: Ausgehender Datenverkehr ist nur für IP-Adressen zulässig, die von diesen vertrauenswürdigen PDNS-Servern aufgelöst werden, oder an IP-Bereiche mit manuellen Ausnahmen, die vom IT-Administrator des Unternehmens konfiguriert wurden.
- Standardverweigerung: Der gesamte andere ausgehende IPv4- und IPv6-Datenverkehr wird standardmäßig blockiert, wobei das Prinzip "Standardmäßig ablehnen" der Zero Trust
- Verbindungsprotokollierung: Das Gerät verwaltet ein umfassendes Protokoll versuchter ausgehender Verbindungen zur Überwachung und Problembehandlung.
Datenverkehrsflussprozess, wenn ZTDNS auf einem Windows-Gerät konfiguriert ist
Anfängliche Sperrung: Windows blockiert den gesamten ausgehenden IPv4- und IPv6-Datenverkehr mit Ausnahme von Verbindungen zu den konfigurierten Schutz-DNS-Servern, explizit zulässigen IP-Adressbereichen und wichtigem Netzwerkermittlungsdatenverkehr (DHCP, DHCPv6 und NDP).
DNS-Auflösung: Wenn Anwendungen eine Verbindung mit einem Ziel herstellen müssen, fragen sie die vertrauenswürdigen PDNS-Server über verschlüsselte Kanäle (DoH oder DoT) ab.
Dynamische Zulassungsauflistung: DNS-Antworten von PDNS-Servern, die IP-Adressauflösungen für ausgehenden Datenverkehr enthalten, lassen Ausnahmen für diese spezifischen IP-Adressen für einen bestimmten Zeitraum zu.
Erzwingung des Datenverkehrs: Anwendungen können dann eine Verbindung mit den aufgelösten IP-Adressen herstellen, während Verbindungen mit anderen IP-Adressen blockiert werden, es sei denn, sie befinden sich in der Liste der manuellen Ausnahmen.
Sicherheitsvorteile
ZTDNS bietet erhebliche Sicherheitsvorteile, da verschiedene netzwerkbasierte Bedrohungen angegangen werden:
DNS-Hijacking-Schutz
Indem sichergestellt wird, dass nur DNS-Auflösungen von vertrauenswürdigen PDNS-Servern verwendet werden, verhindert ZTDNS, dass böswillige Akteure Datenverkehr durch DNS-Hijacking-Angriffe an schädliche Websites umleiten.
Schutz vor schädlicher Kommunikation
Nur das Zulassen ausgehender Verbindungen mit IP-Adressen, die über vertrauenswürdige DNS-Abfragen aufgelöst werden, kann Phishingversuche stören und verhindern, dass nicht administrative Malware-Stager und Beacons mit Befehls- und Steuerungsservern kommunizieren.
Entschärfung der Datenexfiltration
Durch das Einschränken des ausgehenden Datenverkehrs auf genehmigte Domänen wird das Risiko reduziert, dass vertrauliche Daten an nicht autorisierte Ziele übertragen werden, ohne dass die Domänennamensauflösungsmuster analysiert werden müssen.
Unterstützt End-to-End-Verschlüsselung
Im Gegensatz zur herkömmlichen Netzwerkfilterung, die auf Nur-Text-Signalen oder deep packet inspection basiert, ist ZTDNS auch dann effektiv, wenn DNS-Datenverkehr und SNI verschlüsselt sind, und bietet zukunftssichere Sicherheitskontrollen.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Zero Trust DNS (ZTDNS) unterstützen:
| Windows 11-Startseite | Windows 11 Pro | Windows 11 Enterprise | Windows 11 Education |
|---|---|---|---|
| Nein | Nein | Ja | Ja |
Zero Trust DNS Lizenzberechtigungen (ZTDNS) werden von den folgenden Lizenzen gewährt:
| Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.