it-swarm.com.de

Windows 7: "Die Auflösung des lokalen Hostnamens wird in DNS selbst behandelt." Warum?

Nach 18 Jahren Hosting-Dateien unter Windows war ich überrascht, dies in Windows 7 Build 7100 zu sehen:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Weiß jemand warum diese Änderung wurde eingeführt? Ich bin sicher, dass es eine Art Argumentation geben muss.

Und, vielleicht relevanter, gibt es andere wichtige DNS-bezogene Änderungen in Windows 7? Es macht mir ein wenig Angst zu glauben, dass sich etwas so Grundlegendes wie die Auflösung von localhost-Namen geändert hat ... lässt mich denken, dass es in Win7 andere subtile, aber wichtige Änderungen am DNS-Stack gibt.

46
Portman

Ich habe mich bei einem Entwickler im Windows-Team erkundigt und die tatsächliche Antwort ist viel harmloser als die anderen Antworten auf diesen Beitrag :)

Irgendwann in der Zukunft, wenn die Welt von IPV4 zu IPV6 übergeht, wird IPV4 möglicherweise von Unternehmen deaktiviert/deinstalliert, die die Netzwerkverwaltung in ihren Umgebungen vereinfachen möchten.

Unter Windows Vista führte eine DNS-Abfrage nach einer A-Adresse (IPv4) bei der Deinstallation von IPv4 und der Aktivierung von IPv6 zum IPv4-Loopback (der aus der Hosts-Datei stammte). Dies verursachte natürlich Probleme, wenn IPv4 nicht installiert war. Das Update bestand darin, die immer vorhandenen IPv4- und IPv6-Loopback-Einträge vom Host in den DNS-Resolver zu verschieben, wo sie unabhängig voneinander deaktiviert werden konnten.

-Sean

30
Sean Earp

Windows 7 bietet (optionale) Unterstützung für die Validierung DNSSEC . Die Steuerelemente finden Sie unter "Namensauflösungsrichtlinie" im Plugin "Lokale Gruppenrichtlinie" (c:\windows\system32\gpedit.msc)

Leider unterstützt es (AFAIK) nicht RFC 5155NSEC3 Datensätze, die viele große Zonenbetreiber (einschließlich .com) wird verwendet, wenn sie in den nächsten Jahren mit DNSSEC live gehen.

7
Alnitak

Angesichts der Tatsache, dass immer mehr Anwendungen unter Windows IP verwenden, um mit sich selbst zu sprechen, wahrscheinlich einschließlich einer Reihe von Windows-Diensten, könnte ich sehen, dass jemand localhost so ändert, dass er auf einen anderen Ort verweist, was ein interessanter Angriffsvektor ist. Ich vermute, es wurde im Rahmen von Microsoft SDL geändert.

5
WaldenL

Ich kann sehen, dass dies auch ein Versuch ist, ihre Sicherheit zu stützen. Indem sie localhost so "reparieren", dass sie immer auf den Loopback verweisen, können sie DNS-Vergiftungsangriffe vermeiden, die in freier Wildbahn auftreten.

Ich stimme jedoch zu, es ist auf einigen Ebenen etwas störend ...

3
Avery Payne

Ich wäre gespannt, ob man localhost in DNS selbst neu definieren kann. Die Verwendung von Klartextdateien zur Verwaltung dieser Einstellungen hätte niemals als bewährte Sicherheitsmethode angesehen werden können. Es scheint mir, dass die neuen Sicherheitsmaßnahmen von Microsoft über die Verhinderung des Root-Zugriffs hinausgehen und sich eingehender mit nuancierten Sicherheitslücken befassen. Ich bin mir nicht sicher, wie viel man motivierten schwarzen Hüten einen Schritt voraus sein kann, unabhängig davon.

Ich denke, es hat etwas damit zu tun, dass Microsoft RFC 3484 für die Auswahl der Ziel-IP-Adresse implementiert. Dies ist eine IPv6-Funktion, die auf IPv4 zurückportiert wurde und Vista/Server 2008 und höher betrifft. Diese Änderung unterbricht das Round-Robin-DNS. Auch wenn dies Ihre Frage nicht beantwortet, ist es definitiv eine wichtige DNS-Änderung, über die Sie Bescheid wissen müssen.

Weitere Informationen finden Sie im Microsoft Enterprise Networking Blog.

2
duffbeer703