it-swarm-pt.tech

Windows 7: "a resolução de nomes de host local é tratada no próprio DNS". Por quê?

Após 18 anos de arquivos de hosts no Windows, fiquei surpreso ao ver isso no Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Alguém sabe por que essa alteração foi introduzida? Tenho certeza de que deve haver algum tipo de raciocínio.

E, talvez mais relevante, existem outras alterações importantes relacionadas ao DNS no Windows 7? Me assusta um pouco pensar que algo tão fundamental quanto a resolução de nomes de host local mudou ... me faz pensar que há outras mudanças sutis, mas importantes, na pilha de DNS no Win7.

46
Portman

Verifiquei com um desenvolvedor da equipe do Windows, e a resposta real é muito mais inócua do que as outras respostas deste post :)

Em algum momento no futuro, à medida que o mundo passar do IPV4 para o IPV6, o IPV4 será desativado/desinstalado por empresas que desejam simplificar o gerenciamento de rede em seus ambientes.

Com o Windows Vista, quando o IPv4 foi desinstalado e o IPv6 ativado, uma consulta DNS para um endereço A (IPv4) resultou no loopback do IPv4 (proveniente do arquivo hosts). Obviamente, isso causou problemas quando o IPv4 não foi instalado. A correção foi mover as sempre presentes entradas de loopback IPv4 e IPv6 do host para o resolvedor DNS, onde elas poderiam ser desativadas independentemente.

-Sean

30
Sean Earp

O Windows 7 apresenta suporte (opcional) para validação DNSSEC . Os controles podem ser encontrados em "Política de resolução de nomes" no plug-in "Política de grupo local" (c:\windows\system32\gpedit.msc)

Infelizmente, ele não suporta (AFAIK) RFC 5155NSEC3 registros, que muitos operadores de grandes zonas (incluindo .com) estará usando quando for publicado com o DNSSEC nos próximos dois anos.

7
Alnitak

Dado que mais e mais aplicativos no Windows estão usando o IP para se comunicar, provavelmente incluindo vários serviços do Windows. Pude ver alguém alterando o host local para apontar para outro lugar como um vetor de ataque interessante. Meu palpite é que ele foi alterado como parte do Microsoft [~ # ~] sdl [~ # ~] .

5
WaldenL

Percebo que isso também é uma tentativa de reforçar sua segurança. Ao "consertar" o host local para sempre apontar para o loopback, eles podem evitar ataques de envenenamento de DNS, que começam a aparecer na natureza.

Eu concordo, porém, é um pouco perturbador em alguns níveis ...

3
Avery Payne

Eu ficaria curioso para saber se é possível redefinir o host local no próprio DNS. O uso de arquivos de texto não criptografado para gerenciar essas configurações nunca poderia ser considerado uma prática recomendada de segurança. Parece-me que as novas medidas de segurança da Microsoft vão além da prevenção do acesso root e investiga mais profundamente as vulnerabilidades sutis. Não sei ao certo quanto se pode ficar um passo à frente dos chapéus pretos motivados, independentemente.

2
EnocNRoll - Ananda Gopal

Eu acho que tem algo a ver com a Microsoft implementando a RFC 3484 para a seleção de endereços IP de destino. Esse é um recurso do IPv6 portado para o IPv4 e afeta o Vista/Server 2008 e superior. Essa alteração interrompe o DNS de rodízio, portanto, mesmo que isso não responda à sua pergunta, é definitivamente uma grande alteração no DNS.

Mais informações no blog Microsoft Enterprise Networking .

2
duffbeer703