Windows 7: "la risoluzione dei nomi di localhost è gestita all'interno del DNS stesso". Perché?

Dopo 18 anni di file hosts su Windows, sono stato sorpreso di vederlo nella build 7100 di Windows 7:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Qualcuno sa perché questo cambiamento è stato introdotto? Sono sicuro che ci deve essere un ragionamento gentile.

E, forse più rilevante, ci sono altre importanti modifiche relative al DNS in Windows 7? Mi spaventa un po 'pensare che qualcosa di fondamentale come la risoluzione dei nomi di localhost sia cambiato ... mi fa pensare che ci siano altre sottili ma importanti modifiche allo stack DNS in Win7.

Ho verificato con uno sviluppatore del team di Windows e la risposta effettiva è molto più innocua rispetto alle altre risposte a questo post :)

Ad un certo punto in futuro, mentre il mondo passa da IPV4 a IPV6, l'IPV4 verrà infine disabilitato / disinstallato dalle aziende che vogliono semplificare la gestione della rete nei loro ambienti.

Con Windows Vista, quando IPv4 è stato disinstallato ed è stato abilitato IPv6, una query DNS per un indirizzo A (IPv4) ha provocato il loopback IPv4 (che proveniva dal file hosts). Ciò ovviamente ha causato problemi quando IPv4 non è stato installato. La correzione consisteva nel spostare le voci di loopback IPv4 e IPv6 sempre presenti dall'host nel resolver DNS, dove potevano essere disabilitate indipendentemente.

-Sean

Windows 7 introduce il supporto (facoltativo) per la convalida DNSSEC . I controlli sono disponibili in "Criteri di risoluzione dei nomi" nel plug-in "Criteri di gruppo locali" ( c:\windows\system32\gpedit.msc)

Sfortunatamente, non supporta (AFAIK) i record RFC 5155 NSEC3 , che molti operatori di grandi zone (incluso .com) useranno quando entreranno in diretta con DNSSEC nei prossimi due anni.

Dato che sempre più applicazioni su Windows utilizzano l'IP per rispondere a se stesse, probabilmente includendo un certo numero di servizi Windows, potrei vedere qualcuno che cambia localhost per indicare da qualche altra parte un interessante vettore di attacco. Suppongo che sia stato modificato come parte dell'SDL di Microsoft .

Vedo che questo è anche un tentativo di rafforzare la loro sicurezza. "Riparando" localhost in modo che punti sempre al loopback, possono evitare attacchi di avvelenamento da DNS, che stanno iniziando a comparire in natura.

Sono d'accordo però, è un po 'inquietante su alcuni livelli ...

Sarei curioso di sapere se si può ridefinire localhost nel DNS stesso. L'uso di file di testo chiaro per gestire queste impostazioni non avrebbe mai potuto essere considerato una delle migliori pratiche di sicurezza. Mi sembra che le nuove misure di sicurezza di Microsoft vadano oltre la prevenzione dell'accesso root e approfondiscano le vulnerabilità sfumate. Non sono sicuro di quanto si possa stare un passo avanti rispetto ai cappelli neri motivati, a prescindere.

Penso che abbia qualcosa a che fare con l'implementazione di RFC 3484 di Microsoft per la selezione dell'indirizzo IP di destinazione. Questa è una funzionalità IPv6 trasferita su IPv4 e influisce su Vista / Server 2008 e versioni successive. Questa modifica interrompe il DNS robin, quindi anche se non risponde alla tua domanda, è sicuramente una grande modifica DNS da conoscere.

Maggiori informazioni sul blog di Microsoft Enterprise Networking .