Как включить DNS over HTTPS в инсайдерских сборках Windows 10

2020-05-13 3318 комментарии
Windows 10 получила нативную поддержку протокола DNS over HTTPS в инсайдерских сборках Windows 10 «Manganese» (20H2). Шифрования DNS запросов первоначально можно настроить для следующих провайдеров: Cloudflare, Google и Quad9

DNS over HTTPS (DoH) позволяет улучшить приватность, безопасность и надежность соединения за счет шифрования DNS запросов, которые обычно передаются в текстовом виде.

DNS over HTTPS в последнее время стал очень популярным. В браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Opera уже реализована поддержка этого стандарта. Поддержка DoH в приложениях, в частности в браузерах, означает, что DNS-запросы, инициируемые программой, зашифровываются. Однако, запросы от других браузеров, которые не поддерживают DNS over HTTPS, будут совершаться в открытом текстовом виде.

Microsoft собирается это изменить, внедрив поддержку DNS over HTTPS в операционную систему Windows 10. В инсайдерской сборке Windows 10 Build 19628 добавлена начальная поддержка DNS over HTTPS, а после успешного тестирования технология станет доступна в стабильных сборках ОС.

Нативная поддержка DNS over HTTPS в Windows 10

Убедитесь, что ваша учетная запись Microsoft является частью Программы предварительной оценки Windows 10. Если вы знаете, что уже являетесь инсайдером Windows, убедитесь, что находитесь на канале обновления Ранний доступ и перейдите к настройке DNS over HTTPS. Если нет, то следуйте нашим инструкциям, чтобы получить последнюю версию сборки Windows 10 Insider Preview на канале Ранний доступ.

После этого запустите Центр обновления Windows, установите последнюю доступную сборку и убедитесь, что вы используете Windows 10 Build 19628 или выше. Для проверки версии Windows 10 запустите окно команды Выполнить (Win+R) и введите команду winver.

Windows 10 Insider Preview build 19628.1, версия 2004

Как включить нативный DoH-клиент в Windows 10

Как только вы узнаете, что у вашей версии Windows 10 есть поддержка нативного DoH-клиента, вам нужно его активировать. Для этого выполните следующие действия:

  • Нажмите сочетание клавиш Windows + R, чтобы открыть окно команды “Выполнить”. Введите regedit и нажмите OK, чтобы открыть редактор реестра.
  • Перейдите по следующему пути:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
  • Создайте новое значение DWORD под названием EnableAutoDoh
  • Установить его значение на 2

EnableAutoDoh

Обратите внимание: указанные здесь ключи реестра и их значения предназначены только для включения тестирования DoH-клиента на инсайдерских сборках. Когда DoH-клиент будет доступен в стабильных сборках Windows 10, настройка DNS over HTTPS через реестр не будет поддерживаться.

Теперь, когда DoH-клиент активен, Windows начнет использовать DNS over HTTPS, если ваша система Windows 10 настроена на использования одного из следующих DNS-провайдеров:

ПровайдерIP-адреса серверов
Cloudflare1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad99.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Вы можете настроить Windows на использование любого из этих IP-адресов в качестве DNS-сервера с помощью Панели управления или приложения Параметры. В следующий раз, когда DNS-служба перезапустится, система начнет использовать DNS over HTTPS для взаимодействия с этими серверами вместо обычного DNS через порт 53. Самым простым способом перезапуска DNS-службы является перезагрузка компьютера.

Для настройки DNS-серверов на компьютере Windows 10 в Панели управления следуйте этим инструкциям.

настройка DNS-серверов на компьютере Windows 10

Как проверить работу DNS over HTTPS в Windows 10

Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора. Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

pktmon filter remove

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

pktmon filter add -p 53

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

pktmon start --etw -m real-time

DNS over HTTPS в инсайдерских сборках Windows 10

Добавление Comss.one DNS в DoH-клиент Windows 10

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:

netsh dns add encryption server=92.38.152.163 dohtemplate=https://dns.comss.one/dns-query
netsh dns add encryption server=93.115.24.204 dohtemplate=https://dns.comss.one/dns-query

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

netsh dns show encryption server=92.38.152.163
netsh dns show encryption server=93.115.24.204

Comss.one DNS

Теперь, если настроить Windows 10 на использование IP-адресов Comss.one DNS, система будет использовать шифрование DNS over HTTPS вместо классического DNS:

92.38.152.163
93.115.24.204

Comss.one DNS

Выполните проверку работу добавленного DoH-сервера.

© . По материалам Microsoft

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?