Le ZTDNS de Microsoft pourrait renforcer la sécurité du réseau Windows

Le DNS est l'un des plus gros points faibles de la mise en réseau de nos appareils. Il est souvent utilisé sans cryptage, ce qui pose problème lorsque le DNS est chargé de convertir les adresses Web en adresses IP de serveur requises. Microsoft prévoit actuellement des modifications à Windows qui pourraient rendre le DNS plus sécurisé et moins vulnérable à la falsification.

Microsoft a dévoilé un nouveau système de sécurité complet, appelé Zero Trust DNS (ZTDNS en abrégé), visant à renforcer considérablement la sécurité du système de noms de domaine (DNS) au sein des réseaux Windows. Le DNS, essentiel pour traduire des noms de sites Web conviviaux en adresses IP numériques, est depuis longtemps en proie à des risques de sécurité. ZTDNS promet de résoudre ce problème en fournissant des canaux de communication cryptés et authentifiés entre les appareils clients et les serveurs DNS, tout en permettant aux administrateurs de contrôler étroitement les domaines que ces serveurs peuvent résoudre.

Historiquement, l’amélioration de la sécurité DNS impliquait souvent de sacrifier la visibilité administrative sur le trafic réseau. Cela oblige les administrateurs à choisir entre un DNS non chiffré avec une capacité de surveillance mais manquant de protection, ou un DNS chiffré qui aveugle la surveillance et le contrôle. Le ZTDNS de Microsoft intègre le moteur DNS Windows et le pare-feu Windows directement dans les appareils clients pour résoudre ce problème.

Le système ZTDNS empêche les appareils clients de se connecter à n'importe quelle adresse IP, à l'exception de celles des « serveurs DNS de protection » désignés. Lorsqu'un appareil client doit résoudre un nom de domaine, il communique avec un serveur DNS de protection, qui peut éventuellement utiliser des certificats clients pour un contrôle précis des politiques. Lors de la résolution, ZTDNS met à jour dynamiquement le pare-feu Windows pour autoriser les connexions aux adresses IP nouvellement résolues, tout en bloquant tout autre trafic par défaut. Cela crée un puissant outil de verrouillage basé sur le nom de domaine.

Vous pouvez considérer cela comme une série de processus dont le résultat final est que vous ne pouvez visiter que des sites Web spécifiquement approuvés, créant ainsi un environnement ultra-sécurisé. Cela diffère de la résolution DNS classique de plusieurs manières : à savoir, la façon dont votre DNS est actuellement configuré signifie qu'il peut résoudre n'importe quelle URL en adresse IP, même si elle est connue pour être malveillante (avec des conséquences possibles allant du téléchargement de logiciels malveillants à même un point d’entrée potentiel pour un acteur malveillant).

Il existe également des inquiétudes potentielles quant à ce qui pourrait arriver lorsque cette technologie sera effectivement déployée. Bien que ce soit une chose prometteuse pour votre sécurité en ligne, cela nécessitera probablement aussi une planification et une configuration minutieuses de la part des administrateurs pour éviter une interruption accidentelle des fonctions normales du réseau. Après tout, le DNS est une fonctionnalité essentielle pour accéder à Internet, et le nouveau système pourrait aller trop loin et bloquer les éléments réellement non nuisibles que vous pourriez avoir besoin d'utiliser. La bonne nouvelle est que cela ne sera pas encore déployé, il reste donc encore un peu de temps pour comprendre comment configurer correctement les choses afin que votre expérience Internet ne soit pas accidentellement interrompue ou perturbée au cours du processus.

ZTDNS nécessite que les serveurs DNS prennent en charge les protocoles de cryptage tels que DNS sur HTTPS (DoH) ou DNS sur TLS (DoT). Microsoft souligne que ZTDNS n'introduit aucun nouveau protocole réseau, ce qui contribue à le rendre largement compatible. ZTDNS est actuellement en « aperçu privé », selon Microsoft. Il n'est pas immédiatement clair s'il est uniquement testé en interne par l'entreprise pour le moment ou si quelques utilisateurs sélectionnés y auront/y auront accès. Microsoft n'a donné aucune indication sur le moment où ZTDNS pourrait devenir accessible au public, et pour l'instant, la société vient de dire que les Windows Insiders y auront accès à leur propre moment, avec une annonce distincte prévue le moment venu.

Pour l'instant, si vous souhaitez en savoir plus sur ZTDNS et ce qu'il faut prendre en compte lorsque vient le temps d'un déploiement réel, vous pouvez consultez le billet de blog de Microsoft avec tous les détails.

Source: Microsoft via Ars Technica