微软日前宣布推出基于开放标准的零信任技术 ZTDNS (即 Zero Trust DNS)，这种新型 DNS 技术将在 Windows 11 及后续版本中使用，对企业安全和企业 IT 管理员来说是个值得关注但可能需要对基础设施进行改造的新技术。

传统 DNS 技术在企业安全中存在的问题：

在大型企业内部通常会配置防火墙用来过滤不安全的流量，要实现识别和过滤那就必须破坏 DNS 加密或使用不加密的 DNS 等方式，例如 53 端口或通过 SNI 检查。

破坏 DNS 加密后确实可以识别内网员工要访问的地址，但破坏加密本身也是会弱化安全性，不利于企业继续提高网络安全性，例如在全部使用非加密 DNS 的情况下，黑客可以潜伏并窥探企业员工访问的各种地址。

ZTDNS 是如何工作的：

ZTDNS 集成 Windows DNS 客户端和 WFP 过滤平台，实现基于域名的锁定，在实际工作时，首先 Windows 会配备一组支持 DoH 或 DoT 的加密 DNS 服务器确保数据都是加密状态。

其次 IT 管理员可以在管理中心配置白名单，即所有允许访问的域名、IPv4、IPv6、UDP 端口等信息，在实际访问中 ZTDNS 先将要访问的信息生成特征码然后发送到加密后的 ZTDNS 中，ZTDNS 检查要加载的域名或 IP 等信息是否在匹配列表中。

如果成功匹配则允许 ZTDNS 解析域名并进行访问，反之则会阻断连接，这样 DoH 或 DoT 加密没有被破坏，用户访问的所有流量从解析到完成握手全部都是加密的。

未来 ZTDNS 将会在 Windows 11 及后续版本中默认使用：

现阶段 ZTDNS 还在私人预览阶段，即仅有收到邀请的客户才能使用，当推出 Insider 公共预览时微软将发布通知，到时候企业 IT 管理员即可进行部署测试。

值得注意的是微软已经透露将在 ZTDNS 将在 Windows 11 及后续版本中默认使用，当然这对消费者来说不会有什么影响，毕竟 ZTDNS 需要手动配置，不配置那就是没有任何访问限制。

唯一要求是 ZTDNS 不再支持纯文本 DNS，也就是必须使用 DNS over HTTPS 或 DNS over TLS，这个到时候应该也可以禁用。

对 IT 管理员来说是个麻烦的工作：

ZTDNS 从技术原理上说可以大幅度提高安全性并增强内部网络的管控，不过到时候 IT 管理员进行改造的时候应该会比较麻烦，需要配置大量信息例如白名单域名、端口、IP 地址，部分协议例如 RDNSS 等可能也不会支持，所以 IT 管理员可能要经过充分的测试后再考虑是否部署，以免影响某些协议的正常使用。

更多技术细节请访问微软官方博客：https://techcommunity.microsoft.com/t5/networking-blog/announcing-zero-trust-dns-private-preview/ba-p/4110366