微软上周宣布一项零信任安全技术，可借由锁定Windows PC只能连结受信任的网域，以确保用户及企业网路安全，未来也将整合到所有Windows中。

新技术名为零信任DNS（Zero Trust DNS，ZTDNS），微软也预告未来的Windows都将包含。微软解释，ZTDNS使用开放标准为基础的网路协定以满足零信任要求，如OMB M-22-09及NIST SP 800-207，适用以网域名识别网路流量的管理策略。

ZTDNS可整合Windows DNS用户端及Windows Filtering Platform（WFP），实现以网域名为基础的锁定。Windows内含一组支援DoH（DNS over HTTPS）或DoT（DNS over TLS）的伺服器，名为Protective DNS Server，这些元件将只解析列在白名单中的网域名。此外Windows也可能包含一组必须常保连线的IP子网路清单，并在连线时等待Protective DNS伺服器凭证身分资讯，好确认连线连到了正确的伺服器，或是用于用户端验证的凭证。

其次，具有ZTDNS的Windows将封锁Protective DNS伺服器连线以外、以及发现网路连线资讯必要的DHCP、DHCPv6、NDP流量以外的IPv4、IPv6连线。

透过整合ZTDNS，未来从Windows PC上Protective DNS伺服器所发出任何一个包含IP解析动作的DNS回应，都会触发连外流量的白名单检查，这可确保使用系统DNS组态的应用程式和服务可获得放行，连结到已解析的IP位置。反之，若应用程式和服务想对某个ZTDNS不认识（且未被手动加入例外清单）的IP位址传送IPv4或IPv6流量时就会被封锁。

图片来源／微软

但是Windows中的DNS伺服器若想扮演Zero Trust DNS角色，最基本要求是要能支援DoH或DoT，因为ZTNDS会拒绝Windows的明码DNS连线。而在加密DNS连线上使用mTLS（mutual TLS，双向验证TLS）后，可允许Protective DNS按个别用户端设定解析政策。微软说，ZTDNS不使用新的网路协定，可确保其高相容性。

ZTDNS现在为限制性预览阶段，微软说之后等更多用户获得ZTDNS用户端后，会再进一步扩大测试。

但微软也说明ZTDNS可能会影响一些现有安全性较低的连线。由于封锁了所有无法判读网域名的连外流量，因此一些网路协定包括mDNS、LLMNR、NetBIOS Name Resolution、UPnP和WebRTC等会失去作用。其中有些可以借由定义一些例外IP子网路重新开启，但那些无法预先得知IP的连线就是无解了。

但微软也提醒，列出例外IP白名单有二个需要考量的地方。一是必须精简，免得白名单太长，二是只限全球独一无二的IP位址，免得不同网域有相同IP位址的主机。