Windows 7: "Дозвіл імені localhost обробляється в самому DNS". Чому?

Після 18 років файлів хостів у Windows, я здивувався, побачивши це в Windows 7 build 7100:

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Хтось знає, чому ця зміна була введена? Я впевнений, що має бути якесь міркування.

І, можливо, більш важливо, чи є якісь інші важливі зміни, пов’язані з DNS, у Windows 7? Мене трохи лякає думка, що щось настільки принципове, як роздільна здатність імені localhost змінилося ... змушує мене думати, що в Win7 є інші тонкі, але важливі зміни в стеку DNS.

Я перевірився у розробника в команді Windows, і реальна відповідь набагато нешкідливіша за інші відповіді на цей пост :)

У якийсь момент у майбутньому, коли світовий перехід від IPV4 до IPV6, врешті-решт IPV4 буде відключений / видалений компаніями, які хочуть спростити управління мережею у своїх середовищах.

У Windows Vista, коли IPv4 було видалено, а IPv6 увімкнено, запит DNS для адреси A (IPv4) призвів до зворотного звороту IPv4 (який надходив з файлу хостів). Це, звичайно, спричинило проблеми, коли IPv4 не був встановлений. Виправлення полягало в переміщенні постійно присутніх записів циклу IPv4 та IPv6 від хоста до DNS-рішення, де їх можна було самостійно відключити.

-Сейн

Windows 7 представляє (необов'язково) підтримку перевірки DNSSEC . Елементи керування можна знайти у розділі "Політика щодо вирішення імен" у плагіні "Місцева групова політика" ( c:\windows\system32\gpedit.msc)

На жаль, він (AFAIK) не підтримує записи RFC 5155 NSEC3 , які багато великих операторів зон (у тому числі .com) будуть використовувати, коли вони перейдуть наживо з DNSSEC протягом наступних двох років.

Зважаючи на те, що все більше додатків у Windows використовують IP для того, щоб говорити про себе, ймовірно, включаючи ряд служб Windows, я міг бачити, як хтось міняє localhost, щоб вказати десь ще як на цікавий вектор атаки. Я здогадуюсь, що це було змінено як частина SDL Microsoft .

Я бачу, що це також спроба посилити їхню безпеку. "Виправляючи" localhost, щоб завжди вказувати на зворотний зв'язок, вони можуть уникнути атак отруєння DNS, які починають проявлятися в дикій природі.

Я згоден, хоча це трохи заважає на деяких рівнях ...

Мені буде цікаво дізнатися, чи можна переосмислити localhost в самому DNS. Використання чітких текстових файлів для управління цими налаштуваннями ніколи не може вважатися найкращою практикою безпеки. Мені здається, що нові заходи безпеки Microsoft виходять за рамки запобігання доступу до коренів і глибше заглиблюються у нюанси вразливості. Я не впевнений, скільки можна залишитися на крок попереду мотивованих чорних шапок, незалежно.

Я думаю, це має щось спільне з Microsoft, що впроваджує RFC 3484 для вибору IP-адреси призначення. Ця функція IPv6, перенесена назад на IPv4, впливає на Vista / Server 2008 і вище. Ця зміна порушує круговий DNS, тому навіть якщо це не відповідає на ваше запитання, про нього, безумовно, слід змінити важливу зміну DNS.

Більше інформації в блозі Microsoft Enterprise Networking .