Windows Server получава нови функции за мрежова сигурност

Въпреки че е един от най-важните елементи в съвременните мрежови приложения, системата за имена на домейни (DNS) все още е една от най-несигурните технологии в интернет. Microsoft се стреми да промени това положение, като разшири прилагането на криптиран DNS трафик.

Microsoft наскоро обяви, че DNS over HTTPS (DoH) вече е налице в Windows Server 2025, като осигурява криптиран DNS трафик за комуникациите между клиент и сървър. Функцията е налична в клиентските версии на Windows от години и сега се разширява към сървърно-ориентираните версии на операционната система.

Microsoft отбелязва, че добавянето на поддръжка за криптиране на DNS трафика може да доведе до значителни подобрения както в мрежовата сигурност, така и в надеждността. Досега налична само като публична предварителна версия, функцията DoH е част от архитектурата Zero Trust, която Microsoft постепенно внедрява в цялата си компютърна екосистема. Zero Trust приема, че потребителите и устройствата по принцип не са надеждни, поради което DoH добавя допълнителен слой на сигурност, като маршрутизира DNS трафика през HTTPS, защитен с TLS сертификати.

Почти всяко приложение, услуга и работна натоварване все още разчита на DNS – система, която се използва от 1985 година, но продължава да работи с некриптиран трафик за разрешаване на домейн имена. Чрез криптиране на трафика между клиенти и сървъри, DoH може да помогне за предотвратяване на подслушване от злонамерени трети страни.

Освен това криптираният трафик може да спомогне за защитата на DNS данните от манипулации и да потвърди самоличността на DNS сървъра чрез HTTPS/TLS. Реализацията на DoH от Microsoft се основава на стандарта IETF „DNS over HTTPS“ (RFC 8484), така че би трябвало да работи надеждно със съвременни клиенти, които отговарят на спецификацията. DoH може също така да се интегрира със съществуваща инфраструктура, като например услугата „Windows DNS Server“. При необходимост некриптираният DNS трафик може да продължи да работи успоредно с DoH.

След представянето на DoH в предварителна версия Microsoft работи с външни организации, за да оцени как ще се държат имплементациите в реални условия. Сега компанията е уверена, че функцията ще доведе до значителни подобрения в сигурността, без да налага значителна допълнителна тежест върху системните администратори. По този начин организациите могат да внедрят DoH по свой собствен темп, като същевременно запазят съществуващата си некриптирана DNS инфраструктура.

DNS over HTTPS е наличен за системи с Windows Server 2025, актуализирани до най-новата версия от Patch Tuesday. Microsoft предоставя подробно ръководство за активиране и валидиране на функцията в рамките на услугата Windows Server DNS. Компанията отбелязва също, че DNS трафикът, обменян между два DNS сървъра, не се криптира от DoH.