Windows 7: «Разрешение имени локального хоста обрабатывается в самом DNS». Зачем?

После 18 лет работы с хост-файлами в Windows я с удивлением увидел это в Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Кто-нибудь знает, почему это изменение было введено? Я уверен, что должна быть какая-то аргументация.

И, возможно, более уместно, есть ли другие важные изменения, связанные с DNS, в Windows 7? Меня немного пугает мысль о том, что что-то столь же фундаментальное, как разрешение имен локальных хостов, изменилось ... заставляет меня думать, что в Win7 есть и другие тонкие, но важные изменения в стеке DNS.

Я проверил с разработчиком в команде Windows, и фактический ответ гораздо более безобиден, чем другие ответы на этот пост :)

В какой-то момент в будущем, когда мир перейдет от IPV4 к IPV6, IPV4 в конечном итоге будет отключен / удален компаниями, которые хотят упростить управление сетью в своих средах.

В Windows Vista, когда IPv4 был удален, а IPv6 был включен, DNS-запрос для адреса A (IPv4) привел к петле IPv4 (которая поступила из файла hosts). Это, конечно, вызывало проблемы, когда IPv4 не был установлен. Исправление состояло в том, чтобы перенести всегда присутствующие петлевые записи IPv4 и IPv6 с хоста в распознаватель DNS, где они могли быть независимо отключены.

-Sean

Windows 7 вводит (необязательно) поддержку проверки DNSSEC . Элементы управления можно найти в разделе «Политика разрешения имен» в плагине «Локальная групповая политика» ( c:\windows\system32\gpedit.msc).

К сожалению, он не поддерживает (AFAIK) записи RFC 5155 NSEC3 , которые будут использовать многие операторы крупных зон (в том числе .com), когда они начнут работать с DNSSEC в течение следующих нескольких лет.

Учитывая, что все больше и больше приложений в Windows используют IP для связи с самим собой, вероятно, включая несколько служб Windows, я мог видеть, что кто-то изменяет localhost, чтобы указать куда-то еще, как на интересный вектор атаки. Я думаю, что это было изменено как часть Microsoft SDL .

Я также вижу, что это попытка укрепить их безопасность. Путем «исправления» локального узла, чтобы он всегда указывал на обратную петлю, они могут избежать атак отравления DNS, которые начинают появляться в дикой природе.

Я согласен, хотя, это немного беспокоит на некоторых уровнях ...

Мне было бы интересно узнать, можно ли переопределить localhost в самой DNS, хотя. Использование открытых текстовых файлов для управления этими настройками никогда не считалось лучшей практикой безопасности. Мне кажется, что новые меры безопасности Microsoft выходят за рамки предотвращения корневого доступа и углубляются в нюансы уязвимостей. Я не уверен, насколько можно оставаться на шаг впереди мотивированных черных шляп, несмотря ни на что.

Я думаю, что это как-то связано с тем, что Microsoft реализует RFC 3484 для выбора IP-адреса назначения. Это функция IPv6, перенесенная обратно на IPv4, и влияет на Vista / Server 2008 и выше. Это изменение нарушает порядок использования DNS, поэтому даже если это не отвечает на ваш вопрос, это определенно является важным изменением DNS, о котором нужно знать.

Больше информации в блоге Microsoft Enterprise Networking .