Para aumentar a segurança das comunicações de rede, a Microsoft anunciou que vai incluir a tecnologia Zero Trust DNS (ZTDNS) nos dispositivos que usem Windows. Esta tecnologia está ainda em testes internos, mas será distribuída em breve aos membros do programa de testes públicos Windows Insider.
No anúncio oficial da nova tecnologia, a Microsoft explica como o ZTDNS será integrado com o cliente de DNS do Windows e como funcionará a Windows Filtering Platform (WFP).
Primeiro, o Windows terá uma lista de servidores DNS com capacidades DoH (DNS over HTTPS) ou DoT (DNS over TLS), que apenas resolvem os nomes de domínio permitidos. Esta lista também vai incluir uma lista de endereços IP que devem ser sempre permitidos para ser possível usarem-se endpoints que não tenham nomes de domínio, certificados Protective DNS para validação da ligação ao servidor correcto ou certificados usados para autenticação do cliente.
De acordo com a Microsoft:
“Simplificando, qualquer tráfego de rede (IPv4 ou IPv6) para um endereço que não faça parte do ZTDNS será bloqueado. Com esta ferramenta, os administradores de sistema podem bloquear o tráfego para todos os domínios não identificados.”
Num outro artigo, que faz algumas considerações acerca da implementação do Zero Trust DNS, a Microsoft sublinha que esta nova tecnologia pode criar conflitos com serviços de impressão, partilha de ficheiros, actualizações do Windows, aplicações de teleconferência, streaming de média e emissão para ecrãs sem fios. No entanto, estes problemas podem ser resolvidos com algumas modificações fáceis de implementar.
A empresa também explica que a segurança acrescida do ZTDNS pode perder eficácia se forem usadas VPN, tuneis SASE/SSE e máquina virtuais Hyper-V. Para além disto, qualquer utilizador com privilégios de administração do PC pode desligar esta funcionalidade através das definições do Windows. Por isso, os administradores de sistemas têm de ter cuidado com as permissões que dão aos utilizadores.
A Microsoft confirmou que antes do lançamento oficial para todas as versões do Windows, o Zero Trust DNS ainda vai sofrer várias alterações e melhoramentos.