Windows 7：「localhostの名前解決はDNS内で処理されます」。どうして？

Windowsでの18年間のホストファイルの後、Windows 7ビルド7100でこれを見て驚いた。

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

この変更が導入された理由を誰もが知っていますか？何らかの理由があるはずです。

また、おそらくより関連性の高い、Windows 7でのDNS関連の重要な変更は他にありますか？localhostの名前解決のような基本的なものが変更されたと考えるのは少し怖いです... Win7のDNSスタックには、他にも微妙ではあるが重要な変更があると思います。

私はWindowsチームの開発者に確認しましたが、実際の答えはこの投稿に対する他の答えよりもはるかに無害です:)

将来のある時点で、世界がIPV4からIPV6に移行するにつれて、IPV4は、環境内のネットワーク管理を簡素化したい企業によって最終的に無効化/アンインストールされます。

Windows Vistaでは、IPv4をアンインストールしてIPv6を有効にすると、A（IPv4）アドレスのDNSクエリにより、IPv4ループバック（hostsファイルから取得）が発生しました。もちろん、これはIPv4がインストールされていないときに問題を引き起こしました。修正されたのは、常に存在するIPv4およびIPv6ループバックエントリをホストからDNSリゾルバに移動することで、それらは個別に無効にすることができました。

-ショーン

Windows 7では、DNSSEC検証の（オプション）サポートが導入されています。コントロールは、「ローカルグループポリシー」プラグインの「名前解決ポリシー」の下にあります（c:\windows\system32\gpedit.msc）

残念ながら、RFC 5155 NSEC3レコードはサポートされていません（RFC 5155レコードを含む.com）。多くの大規模ゾーンオペレーター（など）は、今後数年にわたってDNSSECを使用する際に使用します。

Windows上の多くのアプリケーションがIPを使用して自分自身とやり取りしていることを考えると、おそらく多くのWindowsサービスを含めて、誰かがlocalhostを変更して他の場所を興味深い攻撃ベクトルとして指すのを見ることができます。私の推測では、MicrosoftのSDLの一部として変更されました。

これは彼らのセキュリティを強化する試みでもあることがわかります。localhostを常にループバックを指すように「修正」することにより、彼らはDNSポイズニング攻撃を回避できます。

私は同意しますが、それはいくつかのレベルで少し邪魔です...

ただし、DNS自体でlocalhostを再定義できるかどうか知りたいです。これらの設定を管理するためにクリアテキストファイルを使用することは、セキュリティのベストプラクティスであるとは考えられませんでした。マイクロソフトの新しいセキュリティ対策は、ルートアクセスの防止にとどまらず、微妙な脆弱性をより深く掘り下げているように思えます。とにかく、やる気のある黒い帽子の一歩先をいくらできるかはわかりません。

宛先IPアドレス選択のためにRFC 3484を実装しているマイクロソフトと関係があると思います。これはIPv4にバックポートされたIPv6機能で、Vista / Server 2008以降に影響します。この変更はラウンドロビンDNSを破壊するので、これが質問に答えなくても、間違いなく知っておくべき重要なDNSの変更です。

詳細については、Microsoft Enterprise Networkingブログをご覧ください。