web-dev-qa-db-ja.com

Windows 7:「localhostの名前解決はDNS自体で処理されます」。どうして?

Windowsでのホストファイルの18年間の後、Windows 7ビルド7100でこれを見て驚いた:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

誰か知っていますかなぜこの変更が導入されましたか?きっと何らかの理由があるはずです。

そして、おそらくより適切に、Windows 7にother重要なDNS関連の変更はありますか?ローカルホストの名前解決と同じくらい根本的な何かが変わったと思って少し怖いです... Win7のDNSスタックに他の微妙だが重要な変更があると思います。

46
Portman

私はWindowsチームの開発者に確認しましたが、実際の答えはこの投稿の他の答えよりもはるかに無害です:)

将来のある時点で、世界がIPV4からIPV6に移行すると、環境内のネットワーク管理を簡素化したい企業によって、IPV4が最終的に無効化/アンインストールされます。

Windows Vistaでは、IPv4をアンインストールしてIPv6を有効にすると、A(IPv4)アドレスのDNSクエリにより、IPv4ループバック(hostsファイルから取得)が発生しました。もちろん、これはIPv4がインストールされていないときに問題を引き起こしました。修正は、常に存在するIPv4およびIPv6ループバックエントリをホストからDNSリゾルバーに移動することでした。DNSリゾルバーでは、それらを個別に無効にできます。

-ショーン

30
Sean Earp

Windows 7では [〜#〜] dnssec [〜#〜] 検証のサポート(オプション)が導入されています。コントロールは、「ローカルグループポリシー」プラグインの「名前解決ポリシー」の下にあります(c:\windows\system32\gpedit.msc

残念ながら、それは(AFAIK)をサポートしていません RFC 5155NSEC3レコード。これは、今後数年にわたってDNSSECで稼働するときに多くの大規模ゾーンオペレーター(.comを含む)が使用することになります。

7
Alnitak

Windowsでますます多くのアプリケーションがIPを使用して自分自身とやり取りしていることを考えると、おそらくローカルサービスを別の場所に変更して興味深い攻撃ベクトルとして誰かが変更するのを見ることができます。 Microsoftの [〜#〜] sdl [〜#〜] の一部として変更されたと思います。

5
WaldenL

これは彼らの安全を強化するための試みでもあることがわかります。常にループバックをポイントするようにlocalhostを「修正」することで、実際に出現し始めているDNSポイズニング攻撃を回避できます。

私は同意しますが、それはいくつかのレベルで少し不安です...

3
Avery Payne

DNS自体でlocalhostを再定義できるかどうか知りたいです。これらの設定を管理するためにクリアテキストファイルを使用することは、セキュリティのベストプラクティスとは考えられていませんでした。 Microsoftの新しいセキュリティ対策は、ルートアクセスの防止にとどまらず、微妙な脆弱性をより深く掘り下げているように思えます。とにかく、やる気のある黒い帽子より一歩先を行くことができるかどうかはわかりません。

Microsoftが宛先IPアドレスを選択するためにRFC 3484を実装することと関係があると思います。これはIPv4にバックポートされたIPv6機能であり、Vista/Server 2008以降に影響します。この変更はラウンドロビンDNSを破壊するので、これがあなたの質問に答えない場合でも、それは間違いなく知っておくべき大きなDNS変更です。

詳細は Microsoft Enterprise Networking ブログをご覧ください。

2
duffbeer703