Nach 18 Jahren Hosts-Dateien unter Windows war ich überrascht, dies in Windows 7 Build 7100 zu sehen:
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Weiß jemand, warum diese Änderung eingeführt wurde? Ich bin sicher, dass es eine Art Begründung geben muss.
Und, vielleicht relevanter, gibt es noch andere wichtige DNS-bezogene Änderungen in Windows 7? Es macht mir ein bisschen Angst zu glauben, dass sich etwas so Grundlegendes wie die Namensauflösung von localhost geändert hat ... lässt mich glauben, dass es weitere subtile, aber wichtige Änderungen am DNS-Stack in Win7 gibt.
domain-name-system
windows-7
Portman
quelle
quelle
Antworten:
Ich habe bei einem Entwickler im Windows-Team nachgefragt, und die tatsächliche Antwort ist weitaus harmloser als die anderen Antworten auf diesen Beitrag :)
Irgendwann in der Zukunft, wenn die Welt von IPV4 auf IPV6 übergeht, wird IPV4 möglicherweise von Unternehmen deaktiviert / deinstalliert, die die Netzwerkverwaltung in ihren Umgebungen vereinfachen möchten.
Unter Windows Vista führte eine DNS-Abfrage nach einer A-Adresse (IPv4) bei der Deinstallation von IPv4 und der Aktivierung von IPv6 zu einem IPv4-Loopback (der aus der Hostdatei stammt). Dies verursachte natürlich Probleme, wenn IPv4 nicht installiert war. Der Fix bestand darin, die immer vorhandenen IPv4- und IPv6-Loopback-Einträge vom Host in den DNS-Resolver zu verschieben, wo sie unabhängig voneinander deaktiviert werden konnten.
-Sean
quelle
Windows 7 bietet (optionale) Unterstützung für die DNSSEC- Validierung. Die Steuerelemente finden Sie unter "Namensauflösungsrichtlinie" im Plugin "Lokale Gruppenrichtlinie" (
c:\windows\system32\gpedit.msc
).Leider unterstützt AFAIK keine RFC 5155-
NSEC3
Datensätze, die viele große Zonenbetreiber (einschließlich.com
) verwenden, wenn sie in den nächsten Jahren mit DNSSEC live gehen.quelle
Angesichts der Tatsache, dass immer mehr Anwendungen unter Windows IP verwenden, um mit sich selbst zu kommunizieren, einschließlich einer Reihe von Windows-Diensten, könnte ich feststellen, dass jemand den localhost ändert, um auf einen anderen Ort als interessanten Angriffsvektor hinzuweisen. Ich vermute, es wurde als Teil von Microsoft SDL geändert .
quelle
Ich kann sehen, dass dies auch ein Versuch ist, ihre Sicherheit zu stützen. Indem localhost so "repariert" wird, dass es immer auf den Loopback verweist, können sie DNS-Vergiftungsangriffe vermeiden, die in der freien Natur auftreten.
Ich stimme jedoch zu, es ist auf einigen Ebenen etwas störend ...
quelle
Ich wäre gespannt, ob man localhost in DNS selbst neu definieren kann. Die Verwendung von Klartextdateien zum Verwalten dieser Einstellungen hätte niemals als bewährte Sicherheitsmethode angesehen werden können. Die neuen Sicherheitsmaßnahmen von Microsoft gehen meines Erachtens über die Verhinderung des Root-Zugriffs hinaus und befassen sich eingehender mit nuancierten Sicherheitslücken. Ich bin mir nicht sicher, wie weit man motivierten schwarzen Hüten noch einen Schritt voraus sein kann.
quelle
Ich denke, es hat etwas damit zu tun, dass Microsoft RFC 3484 für die Auswahl der Ziel-IP-Adresse implementiert. Dies ist eine IPv6-Funktion, die auf IPv4 zurückportiert ist und Vista / Server 2008 und höher betrifft. Diese Änderung bricht das Round-Robin-DNS. Auch wenn dies Ihre Frage nicht beantwortet, ist es definitiv eine wichtige DNS-Änderung, über die Sie Bescheid wissen müssen.
Weitere Informationen finden Sie im Microsoft Enterprise Networking- Blog.
quelle