Windows 7: “localhost ad çözümlemesi DNS'nin içinde işlenir”. Neden?

Windows'taki 18 yıllık host dosyalarından sonra, bunu Windows 7 build 7100'de gördüğüme şaşırdım:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Bu değişikliğin neden ortaya çıktığını bilen var mı ? Eminim ki bir çeşit akıl yürütme olmalı.

Ve belki de daha ilgili olarak, Windows 7'de DNS ile ilgili başka önemli değişiklikler var mı? Localhost ad çözümlemesi değiştiği kadar temel bir şeyin değiştiğini düşünmek beni biraz korkutuyor ... Win7'deki DNS yığında başka ince ama önemli değişiklikler olduğunu düşünmeme neden oluyor.

Windows ekibinde bir geliştirici ile kontrol ettim ve asıl cevap bu yazının diğer cevaplarından çok daha zararsız :)

Gelecekte bir noktada, dünya IPV4'ten IPV6'ya geçiş yaparken, IPV4 ortamlarında ağ yönetimini basitleştirmek isteyen şirketler tarafından devre dışı bırakılacak / kaldırılacaktır.

Windows Vista ile IPv4 kaldırılıp IPv6 etkinleştirildiğinde, bir A (IPv4) adresi için bir DNS sorgusu (ana bilgisayar dosyasından gelen) IPv4 geridönüşümü ile sonuçlandı. Elbette IPv4 kurulmamışsa sorunlara neden oldu. Düzeltme, her zaman mevcut olan IPv4 ve IPv6 geridöngü girişlerini ana bilgisayardan bağımsız olarak devre dışı bırakılabilecekleri DNS çözümleyicisine taşımaktı.

-Sean

Windows 7, DNSSEC doğrulama için (isteğe bağlı) destek sunar . Kontroller, "Yerel Grup İlkesi" eklentisinde ( c:\windows\system32\gpedit.msc) "Ad Çözümleme Politikası" altında bulunabilir.

Maalesef, (AFAIK) önümüzdeki birkaç yıl içinde DNSSEC ile birlikte yaşadıklarında birçok büyük bölge operatörünün (dahil ) kullanacağı RFC 5155 NSEC3 kayıtlarını desteklemiyor .com.

Windows üzerindeki gittikçe daha fazla sayıda uygulamanın kendi kendine geri konuşmak için IP kullandığı göz önüne alındığında, bir dizi Windows hizmeti de dahil olmak üzere, yerel ana bilgisayarı değiştiren birinin başka bir yere ilginç bir saldırı vektörü olarak işaret ettiğini görebiliyorum. Benim tahminim, Microsoft’un SDL’sinin bir parçası olarak değiştirildi .

Bunun güvenliğini arttırma girişimi olduğunu da görebiliyorum. Localhost'u her zaman geridöngüye işaret edecek şekilde "sabitleyerek", vahşi doğada ortaya çıkmaya başlayan DNS zehirlenmesi saldırılarını önleyebilirler.

Yine de katılıyorum, bazı seviyelerde biraz rahatsız edici ...

Yine de DNS'deki localhost'u yeniden tanımlayıp tanımlayamayacağımı bilmek isterdim. Bu ayarları yönetmek için açık metin dosyalarının kullanılması hiçbir zaman en iyi güvenlik uygulaması olarak kabul edilemezdi. Bana göre Microsoft'un yeni güvenlik önlemleri, kök erişimini engellemenin ötesine geçiyor ve nüanslı güvenlik açıklarına daha derinden dalıyor. Ne olursa olsun, motivasyonlu siyah şapkalardan bir adım önde ne kadar kalacağından emin değilim.

Hedef IP adres seçimi için RFC 3484'ü uygulayan Microsoft ile bir ilgisi olduğunu düşünüyorum. Bu, IPv4'e geri yüklenen bir IPv6 özelliğidir ve Vista / Server 2008 ve üstünü etkiler. Bu değişiklik, robin DNS'sini bozuyor, bu nedenle bu sorunuza cevap vermese bile, kesinlikle bilinmesi gereken önemli bir DNS değişikliği.

Microsoft Kurumsal Ağ blogunda daha fazla bilgi .