3 min Security

Microsoft biedt met ZTDNS zero trust op DNS-niveau

Microsoft biedt met ZTDNS zero trust op DNS-niveau

Microsoft is bezig met het doorvoeren van striktere security-policies en pakt daarom de beveiliging op Domain Server Name (DNS)-niveau aan. Het bedrijf gaf onlangs inzicht in hoe zero trust DNS (ZTDNS) netwerken op Windows beter kan beveiligen.

Met de nieuwe technologie wil de techgigant mogelijke verbindingen tussen devices of clients met kwaadaardige IP-adressen beter tegengaan. Dit door de beveiliging op DNS-niveau beter aan te pakken en zowel IPv4- als IPv6-adressen te checken op kwaadaardigheid en vervolgens blokkeren.

Microsoft noemt de nu ontwikkelde technologie zero trust DNS of ZTDNS. De technologie biedt in de eerste plaats versleutelde en cryptografisch geauthenticeerde verbindingen tussen de devices of clients van eindgebruikers en DNS-servers. In de tweede plaats stelt ZTDNS beheerders in staat de (toegang tot) domeinnamen die deze servers faciliteren sterk te beperken.

Dit alles om de diverse mogelijke aanvalsfactoren waar DNS-servers kwetsbaar voor zijn, tot een minimum te beperken.

Diagram dat een Windows 11-apparaat toont dat verbinding maakt met een mdm-service via een wifi-netwerk voor thuiswerken, waarbij componenten zoals de dns-serverlijst en de clientcertificaatlijst worden benadrukt.

Integratie Windows DNS-engine en Filtering Platform

Onder de motorkap wordt bij ZTDNS de Windows DNS engine geïntegreerd met het Windows Filtering Platform. Dit is het belangrijkste onderdeel van de Windows Firewall. Deze integratie wordt op zijn beurt weer direct geïntegreerd in de devices van eindgebruikers.

De in ZTDNS doorgevoerde integraties van de eerder afzonderlijke engines maakt het mogelijk updates naar de Windows Firewall door te voeren op basis van afzonderlijke domeinnamen. Hierdoor zijn bedrijven in staat om de clients van hun medewerkers te vertellen dat zij alleen de eigen DNS-server met TLS moeten gebruiken die alleen toegang geeft tot bepaalde domeinadressen. Microsoft noemt deze DNS -server(s) de ‘beschermende DNS-server’.

Op deze manier zal de firewall standaard verzoeken tot alle domeinadressen tegenhouden, behalve die zijn aangegeven in lijsten van toegestane adressen. Een aparte lijst staat IP-adressubnets toe die behoren bij door medewerkers gebruikte toegestane software.

Niet zonder risico’s

Het gebruik van ZTDNS is overigens niet geheel zonder risico’s. Experts geven tegenover Ars Technica aan dat de implementatie van ZTDNS belangrijke netwerkwerkzaamheden kan verstoren. Om deze verstoringen te voorkomen, zouden beheerders eerst belangrijke veranderingen aan netwerkontwerpen moeten doorvoeren.

Aanscherpen securitymaatregelen

Met de introductie van ZTDNS lijkt Microsoft de eerste stappen te zetten in het aanscherpen van zijn eigen securitymaatregelen. Deze maatregelen, of het gebrek eraan, kregen de afgelopen maanden veel kritiek.

Inmiddels is het bedrijf met zijn Secure Future Initiative een omvangrijk traject begonnen voor verbeteringen op meerdere niveaus. Daarnaast heeft de techgigant ook een aantal nieuwe leidinggevenden aangesteld die de communicatie over security met onder meer klanten flink moet verbeteren.

Techzine besprak de securityproblemen bij Microsoft recent in Techzine Talks. Luister hier naar de podcast: