Windows 7: „Rozpoznawanie nazw hosta lokalnego jest obsługiwane przez sam DNS”. Dlaczego?

Po 18 latach plików hostów w systemie Windows byłem zaskoczony, widząc to w kompilacji 7100 systemu Windows 7:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Czy ktoś wie, dlaczego wprowadzono tę zmianę? Jestem pewien, że musi być jakieś uzasadnienie.

A może bardziej istotne są jakieś inne ważne zmiany związane z DNS w Windows 7? Trochę mnie przeraża myśl, że zmieniło się coś tak fundamentalnego jak rozpoznawanie nazw hostów lokalnych ... powoduje, że myślę o innych subtelnych, ale ważnych zmianach w stosie DNS w Win7.

Sprawdziłem z deweloperem w zespole systemu Windows, a faktyczna odpowiedź jest o wiele bardziej nieszkodliwa niż inne odpowiedzi na ten post :)

W pewnym momencie w przyszłości, gdy świat przejdzie z IPV4 na IPV6, IPV4 zostanie ostatecznie wyłączony / odinstalowany przez firmy, które chcą uprościć zarządzanie siecią w swoich środowiskach.

W systemie Windows Vista, gdy odinstalowano IPv4 i włączono IPv6, zapytanie DNS dla adresu A (IPv4) spowodowało sprzężenie zwrotne IPv4 (pochodzące z pliku hosts). To oczywiście spowodowało problemy, gdy IPv4 nie został zainstalowany. Rozwiązaniem było przeniesienie zawsze obecnych pozycji sprzężenia zwrotnego IPv4 i IPv6 z hosta do programu rozpoznawania nazw DNS, gdzie można je niezależnie wyłączyć.

-Sean

Windows 7 wprowadza (opcjonalnie) obsługę sprawdzania poprawności DNSSEC . Kontrolki można znaleźć w „Polityce rozpoznawania nazw” we wtyczce „Lokalne zasady grupy” ( c:\windows\system32\gpedit.msc)

Niestety nie obsługuje (AFAIK) rekordów RFC 5155 NSEC3 , z których będzie korzystać wielu operatorów dużych stref (w tym .com), kiedy będą korzystać z DNSSEC w ciągu najbliższych kilku lat.

Biorąc pod uwagę, że coraz więcej aplikacji w systemie Windows używa adresu IP, aby rozmawiać ze sobą, prawdopodobnie obejmując szereg usług Windows, widziałem, jak ktoś zmienia hosta lokalnego, aby wskazywał gdzie indziej jako interesujący wektor ataku. Domyślam się, że został zmieniony w ramach SDL Microsoftu .

Widzę, że jest to także próba wzmocnienia ich bezpieczeństwa. „Naprawiając” localhost, aby zawsze wskazywał na sprzężenie zwrotne, mogą uniknąć ataków zatruwających DNS, które zaczynają się pojawiać na wolności.

Zgadzam się jednak, na niektórych poziomach jest to trochę niepokojące ...

Byłbym ciekawy, czy można przedefiniować localhost w samym DNS. Użycie czystych plików tekstowych do zarządzania tymi ustawieniami nigdy nie mogło być uważane za najlepszą praktykę bezpieczeństwa. Wydaje mi się, że nowe środki bezpieczeństwa Microsoftu wykraczają poza zapobieganie dostępowi do roota i sięgają głębiej w niuansowe luki w zabezpieczeniach. Nie jestem pewien, jak bardzo można wyprzedzić zmotywowane czarne czapki, niezależnie od tego.

Myślę, że ma to coś wspólnego z Microsoftem implementującym RFC 3484 do wyboru docelowego adresu IP. Jest to funkcja IPv6 przeniesiona z powrotem do IPv4 i wpływa na system Vista / Server 2008 i nowsze wersje. Ta zmiana łamie cały robin DNS, więc nawet jeśli to nie odpowiada na twoje pytanie, to zdecydowanie ważna zmiana DNS, o której warto wiedzieć.

Więcej informacji na blogu Microsoft Enterprise Networking .