Avec le principe de Zero Trust au DNS, Microsoft effectue des expériences pour la sécurité de réseau

Table des matières

La nouvelle fonctionnalité de Microsoft, ZTDNS, utilise le principe de Zero Trust au Domain Name System (DNS). Ce dernier peut en effet poser problème par rapport à la sécurité. La grande entreprise souhaite, de ce fait, renforcer la sécurité du DNS, en bloquant par défaut les trafics sortants. Ceux-ci ne seront pas envoyés vers des noms de domaines n’ayant aucune autorisation.

Dans le but de fortifier la sécurité de son écosystème Windows, Microsoft a entrepris un virage important dans sa stratégie. Il entend renforcer l’implémentation et l’utilisation du système DNS. Son objectif est surtout de s’aligner sur le modèle de protection Zero Trust. Il s’agit d’une approche exigeant une certaine authentification, mais également une surveillance de l’activité réseau. Via la solution Zero Trust DNS, Microsoft souhaite attaquer de front les failles potentielles du DNS. Ce système vise donc la sécurité du DNS sur Windows. Néanmoins, l’installation de cette initiative semble complexe, car elle ne prend pas en compte certaines technologies ou applications.

Les fonctionnalités principales de ZTDNS

ZTDNS opère en se servant de deux éléments intégrés à Windows :

  • Le client DNS ;
  • Le système de filtrage.

Cela implique l’utilisation d’outils, comme des serveurs DNS devant être compatibles avec certains protocoles DNS sur HTTPS (DoH) ou TLS (DoT). Avec ZTDNS, les activités de sortie IP sont bloquées, sauf pour toute communication avec les serveurs DNS ayant été autorisés. Les réponses de ces derniers engendrent la levée de tout blocage pour les adresses spécifiées comme approuvées. D’ailleurs, il est envisageable d’effectuer un ajout manuel concernant les adresses à une liste blanche pour les rendre autorisées.

De plus, il est possible d’adopter l’utilisation de certificats clients afin d’attribuer des identités aux serveurs offrant une solution plus sécurisée. Avec l’intégration éventuelle de Mutual Transport Layer Security (mTLS), ces serveurs ont la possibilité de :

  • Appliquer des stratégies de résolution spécifique selon le client ;
  • Renforcer la sécurité et la personnalisation des échanges.

Les impacts de ZTDNS sur certaines applications et technologies spécifiques

La nouvelle approche de sécurité de Microsoft présente quand même quelques incompatibilités avec des fonctionnalités spécifiques : 

  • Les portails captifs ;
  • Le partage local des mises à jour de Windows ;
  • La diffusion sans fil ;
  • La reconnaissance des imprimantes via mDNS.
  • Les applications de visioconférence ;
  • La découverte d’imprimantes ;
  • Le partage de fichiers ;
  • Les technologies contournant la pile TCP/IP de Windows, etc.

ZTDNS bloque certains protocoles réseau, incluant mDNS, LLMNR, UPnP, NetBIOS, et WebRTC. L’utilisation d’outils peut être nécessaire pour créer des exceptions pour certains services ou applications. Concernant les navigateurs utilisant leurs propres clients, ZTDNS ne les tient pas en compte. Ceux-ci doivent donc utiliser un client DNS de Windows. Il en va de même pour le partage des mises à jour téléchargées ainsi que la découverte d’affichage sans fil via Windows.

Certaines applications de visioconférence nécessitent une mise en exception de sous-réseaux. Les technologies avec la pile TCP/IP et les virtualisations (WSL) peuvent toutefois contourner ZTDNS.

Cet article vous a-t-il été utile ?

Note moyenne 0 / 5. Votants: 0

Retrouvez ici les dernières actualités