it-swarm-eu.dev

Windows 7: "La résolution de nom d'hôte local est gérée dans DNS lui-même". Pourquoi?

Après 18 ans de fichiers hôtes sur Windows, j'ai été surpris de voir cela dans Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Est-ce que quelqu'un sait pourquoi ce changement a été introduit? Je suis sûr qu'il doit y avoir une sorte de raisonnement.

Et, peut-être plus pertinent, y a-t-il des autres changements importants liés au DNS dans Windows 7? Cela me fait un peu peur de penser que quelque chose d'aussi fondamental que la résolution de nom de l'hôte local a changé ... me fait penser qu'il y a d'autres changements subtils mais importants à la pile DNS dans Win7.

46
Portman

J'ai vérifié avec un développeur de l'équipe Windows et la réponse réelle est beaucoup plus anodine que les autres réponses à ce post :)

À un moment donné dans l'avenir, alors que le monde passe d'IPV4 à IPV6, IPV4 sera finalement désactivé/désinstallé par les entreprises qui souhaitent simplifier la gestion du réseau dans leurs environnements.

Sous Windows Vista, lorsque IPv4 était désinstallé et IPv6 activé, une requête DNS pour une adresse A (IPv4) entraînait le bouclage IPv4 (qui provenait du fichier hosts). Bien sûr, cela a causé des problèmes lorsque IPv4 n'était pas installé. Le correctif consistait à déplacer les entrées de bouclage IPv4 et IPv6 toujours présentes de l'hôte vers le résolveur DNS, où elles pouvaient être désactivées indépendamment.

-Sean

30
Sean Earp

Windows 7 introduit la prise en charge (facultative) de la validation DNSSEC . Les contrôles se trouvent sous "Stratégie de résolution de noms" dans le plug-in "Stratégie de groupe locale" (c:\windows\system32\gpedit.msc)

Malheureusement, il (AFAIK) ne prend pas en charge RFC 5155NSEC3 enregistre, que de nombreux opérateurs de grandes zones (dont .com) sera utilisé lors de leur mise en ligne avec DNSSEC au cours des deux prochaines années.

7
Alnitak

Étant donné que de plus en plus d'applications sous Windows utilisent IP pour se parler, y compris probablement un certain nombre de services Windows, je pouvais voir quelqu'un changer d'hôte local pour pointer ailleurs comme étant un vecteur d'attaque intéressant. Je suppose qu'il a été modifié dans le cadre de Microsoft SDL .

5
WaldenL

Je vois cela aussi comme une tentative de renforcer leur sécurité. En "fixant" localhost pour toujours pointer vers le bouclage, ils peuvent éviter les attaques d'empoisonnement DNS, qui commencent à apparaître dans la nature.

Je suis d'accord cependant, c'est un peu dérangeant à certains niveaux ...

3
Avery Payne

Je serais curieux de savoir si l'on peut redéfinir localhost dans DNS lui-même. L'utilisation de fichiers texte clairs pour gérer ces paramètres n'aurait jamais pu être considérée comme une meilleure pratique de sécurité. Il me semble que les nouvelles mesures de sécurité de Microsoft vont au-delà de la prévention de l'accès root et approfondissent les vulnérabilités nuancées. Je ne sais pas combien on peut garder une longueur d'avance sur les chapeaux noirs motivés, malgré tout.

Je pense que cela a quelque chose à voir avec Microsoft implémentant RFC 3484 pour la sélection de l'adresse IP de destination. Il s'agit d'une fonctionnalité IPv6 back-portée vers IPv4 et qui affecte Vista/Server 2008 et supérieur. Ce changement rompt le DNS alternatif, donc même si cela ne répond pas à votre question, c'est certainement un changement DNS majeur à connaître.

Plus d'informations sur le blog Microsoft Enterprise Networking .

2
duffbeer703