微软宣布 Windows Server 现已正式支持 DNS over HTTPS (DoH) 功能,该功能通过加密传输和身份验证机制为企业网络提供零信任架构下的 DNS 安全解决方案。与明文传输的传统 DNS 不同,DoH 基于 HTTPS 协议加密 DNS 流量,可有效防止流量窃听和中间人攻击。
核心安全优势
DoH 相比标准 DNS 具有多项安全增强特性。首先,所有 DNS 查询通过 HTTPS 加密传输,防止未经授权的窥探和流量分析。其次,该功能利用 TLS 证书实现客户端对 DNS 服务器身份的验证,从根本上阻断 DNS 欺骗攻击。此外,DoH 基于互联网工程任务组 (IETF) 制定的 RFC 8484 标准开发,确保与现代合规客户端的兼容性。
部署与兼容性
微软强调 DoH 可无缝集成至现有网络架构,支持与标准 DNS 并行运行,企业可按自身节奏完成迁移。需要注意的是,该功能需要 Windows Server 2025 系统并安装最新的 Patch Tuesday 更新后方可启用。微软已在预览阶段验证了功能的稳定性,现建议企业在生产环境中部署。
后续路线图
目前版本聚焦于客户端与解析器之间的通信加密。微软表示,Windows DNS Server 与上游 DNS 解析器之间的加密通信支持将在后续更新中推出。此前 Windows 客户端已支持 DoH,此次 Windows Server 的加入意味着企业网络的全部终端均可获得加密 DNS 保护。
via Neowin
