При подключении к любому сайту ваш компьютер сначала запрашивает у сервера доменных имен (DNS) IP-адрес целевого хоста. Исторически, данные запросы выполнялись в простом текстовом виде, что создавало высокие риски отслеживания со стороны интернет-провайдера или государственных структур. Технология DNS-over-HTTPS (DoH) позволяет вашему компьютеру выполнять эти DNS-запросы через зашифрованное HTTPS-соединение.
В некоторых странах правительство блокирует доступ к определенным сайтам за счет отслеживания DNS-трафика. В таких случаях DoH позволяет обходить цензуру, предотвращать спуфинг-атаки и повысить уровень конфиденциальности.
Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DNS-over-HTTPS. Тем не менее, безопасный протокол используется только в браузере, а не в других приложениях, запущенных на компьютере.
Вот почему важно иметь поддержку DoH на уровне операционной системы — тогда все DNS-запросы будут зашифрованы.
Содержание
- Как включить шифрование DNS-over-HTTPS в Windows 11
- Как проверить работу DNS over HTTPS в Windows 11
- Как управлять DoH с помощью групповых политик
- Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 11
Windows 11 поддерживает DNS-over-HTTPS. Как включить нативный DoH-клиент
Microsoft впервые представила поддержку DNS-over-HTTPS в предварительной сборке Windows 10 Insider Preview build 20185, но несколько сборок спустя технология была отключена.
В Windows 11 Microsoft снова включила функцию DoH в инсайдерской сборке Windows 11 Build 22000.51 (Dev), и она доступна в первоначальном релизе Windows 11, а Windows 11, версия 22H2 настройка была упрощена.
Установить шифрование DNS по протоколу HTTPS в Windows 11 можно, перейдя в меню:
Для Ethernet подключения:
Параметры > Сеть и Интернет > Ethernet > Назначение DNS-сервера > Изменить > Вручную
Для беспроводной сети:
Параметры > Сеть и Интернет > Wi-Fi > Свойства [название_беспроводной_сети] > Назначение DNS-сервера > Изменить > Вручную
Далее настройка будет отличаться, если у вас Windows 11, версия 22H2 и выше или Windows 11 (первоначальный релиз) (версия 21H2).
Совет. Чтобы быстро узнать номер версии и сборки Windows 11, введите в поисковую строку winver, нажмите Enter, и вы увидите диалоговое окно с информацией о текущей версии ОС.
Windows 11, версия 22H2 и выше
Вы можете указать предпочтительный и дополнительный IP-адреса DNS-серверов, которые поддерживают DNS-over-HTTPS. Далее для параметра «DNS по протоколу HTTPS», выберите Включено (автоматический шаблон) для официально поддерживаемых DNS-серверов:
В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:
- Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
- Google: DNS-серверы 8.8.8.8 и 8.8.4.4
- Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112
Администраторы могут указать альтернативные DNS-серверы. В этом случае для параметра «DNS по протоколу HTTPS» необходимо выбрать Включено (ручной шаблон) и указать шаблон DoH URI для сервера с шифрованием. Например, для Comss.one DNS необходимо указать IPv4 адрес (195.133.25.16) и шаблон https://dns.comss.one/dns-query.
Вы можете проверить правильную работу добавленного DoH-сервера на странице Comss.one DNS или с помощью встроенного в систему инструмента PacketMon.
Windows 11 (первоначальный релиз)
Если на устройстве указаны DNS-серверы, которые поддерживают DNS-over-HTTPS, то вы увидите параметр «Шифрование DNS», в котором можно выбрать DoH. Доступны следующие варианты:
- Только незашифрованные — использование стандартного DNS без шифрования.
- Только зашифрованные (DNS поверх HTTPS) — использование только DoH.
- Зашифрованный предпочтительно, незашифрованный — попытаться использовать DoH, в случае недоступности вернуться к стандартному DNS без шифрования.
В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:
- Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
- Google: DNS-серверы 8.8.8.8 и 8.8.4.4
- Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112
Чтобы посмотреть текущие настройки DNS-over-HTTPS в Windows 11 можно использовать следующие команды:
Используем netsh:
netsh dns show encryption
Используем PowerShell:
Get-DnsClientDohServerAddress
Администраторы могут вручную указать альтернативные DNS-серверы с поддержкой DoH с помощью следующих команд:
Используем netsh:
netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no
Используем PowerShell:
Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True
Microsoft уточняет, что вариант с автоматическим определением DoH для настроенного DNS-сервера был бы предпочтительным, но мог вызвать повышенные риски для конфиденциальности.
В новом сообщении блога Томми Дженсен, менеджер программ группы Windows Core Networking пояснил:
Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем обработки доменного имени. Однако мы решили не допускать этого. Данный подход будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для начальной загрузки.
Это означает, что узел на сетевом пути может злонамеренно изменить или заблокировать запрос имени сервера DoH. Сейчас единственный способ избежать этого - заранее сообщить Windows о сопоставлении IP-адресов и шаблонов DoH.
В будущем Microsoft планирует узнавать о новых конфигурациях сервера DoH с DNS-сервера, используя технологии обнаружения назначенных преобразователей (Discovery of Designated Resolvers, DDR) и обнаружения назначенных в сети преобразователей (Discovery of Network-designated Resolvers, DNR), которые были предложены группе IETF ADD WG.
Как проверить работу DNS over HTTPS в Windows 11
Теперь, когда Windows 11 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.
Откройте Командную строку или PowerShell от имени администратора (можно использовать Windows Terminal). Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:
pktmon filter remove
Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).
pktmon filter add -p 53
Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.
pktmon start --etw -m real-time
Как управлять DoH с помощью групповых политик
Microsoft также добавила возможность управлять настройками DNS-over-HTTPS в Windows 11 с помощью групповых политик.
В Windows 11 Microsoft представила политику Настройка разрешения имен DNS поверх HTTPS (DOH) в разделе Конфигурация компьютера > Административные шаблоны > Сеть > DNS-клиент.
Эта политика позволяет настроить использование стандартного незашифрованного DNS, предпочтение DoH или требование DoH.
Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 11
Windows 11, версия 22H2 и выше
Укажите IPv4 адрес Comss.one DNS (83.220.169.155 и 195.133.25.16) и шаблон DoH URI для сервера с шифрованием https://dns.comss.one/dns-query, как показано в настройках выше.
Windows 11 (первоначальный релиз)
Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.
Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды в Терминале (профиль PowerShell) от имени администратора:
netsh dns add encryption server=83.220.169.155 dohtemplate=https://dns.comss.one/dns-query
netsh dns add encryption server=195.133.25.16 dohtemplate=https://dns.comss.one/dns-query
Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды в Терминале (профиль PowerShell), которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:
netsh dns show encryption server=83.220.169.155
Теперь, если настроить Windows 11 на использование IP-адресов Comss.one DNS (83.220.169.155 и 195.133.25.16) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS.
Выполните проверку работы добавленного DoH-сервера.
Последние статьи #Windows
• Обновление KB5062678 (Build 26120.4741) для Windows 11, версия 24H2 (Beta)
• Обновление KB5062676 (Build 26200.5710) для Windows 11, версия 25H2 (Dev)
• Ошибка с событием 2042 в Брандмауэре Windows 11, версия 24H2 исправлена в обновлении KB5062660 (Build 26100.4767)
• FlyBy11 получил функцию загрузки ISO-образа Windows 11 с помощью Media Creation Tool
• Обновление KB5062660 (Build 26100.4767) Preview для Windows 11, версия 24H2
• Windows 11 Build 27902 (Canary): Что нового, готовые ISO-образы