Как включить шифрование DNS-over-HTTPS в Windows 11

2022-11-30 41965 комментарии
Microsoft добавила в Windows 11 поддержку протокола DNS-over-HTTPS, который позволяет зашифровать DNS-запросы для обхода цензуры и отслеживания активности

При подключении к любому сайту ваш компьютер сначала запрашивает у сервера доменных имен (DNS) IP-адрес целевого хоста. Исторически, данные запросы выполнялись в простом текстовом виде, что создавало высокие риски отслеживания со стороны интернет-провайдера или государственных структур. Технология DNS-over-HTTPS (DoH) позволяет вашему компьютеру выполнять эти DNS-запросы через зашифрованное HTTPS-соединение.

В некоторых странах правительство блокирует доступ к определенным сайтам за счет отслеживания DNS-трафика. В таких случаях DoH позволяет обходить цензуру, предотвращать спуфинг-атаки и повысить уровень конфиденциальности.

Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DNS-over-HTTPS. Тем не менее, безопасный протокол используется только в браузере, а не в других приложениях, запущенных на компьютере.

Вот почему важно иметь поддержку DoH на уровне операционной системы — тогда все DNS-запросы будут зашифрованы.

Содержание

Windows 11 поддерживает DNS-over-HTTPS. Как включить нативный DoH-клиент

Microsoft впервые представила поддержку DNS-over-HTTPS в предварительной сборке Windows 10 Insider Preview build 20185, но несколько сборок спустя технология была отключена.

В Windows 11 Microsoft снова включила функцию DoH в инсайдерской сборке Windows 11 Build 22000.51 (Dev), и она доступна в первоначальном релизе Windows 11, а Windows 11, версия 22H2 настройка была упрощена.

Установить шифрование DNS по протоколу HTTPS в Windows 11 можно, перейдя в меню:

Для Ethernet подключения:

Параметры > Сеть и Интернет > Ethernet > Назначение DNS-сервера > Изменить > Вручную

Для беспроводной сети:

Параметры > Сеть и Интернет > Wi-Fi > Свойства [название_беспроводной_сети] > Назначение DNS-сервера > Изменить > Вручную

Далее настройка будет отличаться, если у вас Windows 11, версия 22H2 или Windows 11 (первоначальный релиз) (версия 21H2).

Совет. Чтобы быстро узнать номер версии и сборки Windows 11, введите в поисковую строку winver, нажмите Enter, и вы увидите диалоговое окно с информацией о текущей версии ОС.

Windows 11, версия 22H2

Вы можете указать предпочтительный и дополнительный IP-адреса DNS-серверов, которые поддерживают DNS-over-HTTPS. Далее для параметра «DNS по протоколу HTTPS», выберите Включено (автоматический шаблон) для официально поддерживаемых DNS-серверов:

В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:

  • Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
  • Google: DNS-серверы 8.8.8.8 и 8.8.4.4
  • Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112

Администраторы могут указать альтернативные DNS-серверы. В этом случае для параметра «DNS по протоколу HTTPS» необходимо выбрать Включено (ручной шаблон) и указать шаблон DoH URI для сервера с шифрованием. Например, для Comss.one DNS необходимо указать IPv4 адреса (92.223.65.71 и 81.90.180.173) и шаблон https://dns.comss.one/dns-query.

Выполните проверку работы добавленного DoH-сервера.

Windows 11 (первоначальный релиз)

Если на устройстве указаны DNS-серверы, которые поддерживают DNS-over-HTTPS, то вы увидите параметр «Шифрование DNS», в котором можно выбрать DoH. Доступны следующие варианты:

  • Только незашифрованные — использование стандартного DNS без шифрования.
  • Только зашифрованные (DNS поверх HTTPS) — использование только DoH.
  • Зашифрованный предпочтительно, незашифрованный — попытаться использовать DoH, в случае недоступности вернуться к стандартному DNS без шифрования.

В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:

  • Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
  • Google: DNS-серверы 8.8.8.8 и 8.8.4.4
  • Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112

Чтобы посмотреть текущие настройки DNS-over-HTTPS в Windows 11 можно использовать следующие команды:

Используем netsh:

netsh dns show encryption

Используем PowerShell:

Get-DnsClientDohServerAddress

Администраторы могут вручную указать альтернативные DNS-серверы с поддержкой DoH с помощью следующих команд:

Используем netsh:

netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no

Используем PowerShell:

Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True 

Microsoft уточняет, что вариант с автоматическим определением DoH для настроенного DNS-сервера был бы предпочтительным, но мог вызвать повышенные риски для конфиденциальности.

В новом сообщении блога Томми Дженсен, менеджер программ группы Windows Core Networking пояснил:

Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем обработки доменного имени. Однако мы решили не допускать этого. Данный подход будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для начальной загрузки.

Это означает, что узел на сетевом пути может злонамеренно изменить или заблокировать запрос имени сервера DoH. Сейчас единственный способ избежать этого - заранее сообщить Windows о сопоставлении IP-адресов и шаблонов DoH.

В будущем Microsoft планирует узнавать о новых конфигурациях сервера DoH с DNS-сервера, используя технологии обнаружения назначенных преобразователей (Discovery of Designated Resolvers, DDR) и обнаружения назначенных в сети преобразователей (Discovery of Network-designated Resolvers, DNR), которые были предложены группе IETF ADD WG.

Как проверить работу DNS over HTTPS в Windows 11

Теперь, когда Windows 11 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора (можно использовать Windows Terminal). Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

pktmon filter remove

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

pktmon filter add -p 53

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

pktmon start --etw -m real-time

DNS over HTTPS в инсайдерских сборках Windows 11

Как управлять DoH с помощью групповых политик

Microsoft также добавила возможность управлять настройками DNS-over-HTTPS в Windows 11 с помощью групповых политик.

В Windows 11 Microsoft представила политику Настройка разрешения имен DNS поверх HTTPS (DOH) в разделе Конфигурация компьютера > Административные шаблоны > Сеть > DNS-клиент.

Эта политика позволяет настроить использование стандартного незашифрованного DNS, предпочтение DoH или требование DoH.

Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 11

Windows 11, версия 22H2

Укажите IPv4 адреса Comss.one DNS (92.223.65.71 и 81.90.180.173) и шаблон DoH URI для сервера с шифрованием https://dns.comss.one/dns-query, как показано в настройках выше.

Windows 11 (первоначальный релиз)

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды в Терминале (профиль PowerShell) от имени администратора:

netsh dns add encryption server=92.223.65.71 dohtemplate=https://dns.comss.one/dns-query
netsh dns add encryption server=81.90.180.173 dohtemplate=https://dns.comss.one/dns-query

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды в Терминале (профиль PowerShell), которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

netsh dns show encryption server=92.223.65.71
netsh dns show encryption server=81.90.180.173

Comss.one DNS

Теперь, если настроить Windows 11 на использование IP-адресов Comss.one DNS (92.223.65.71 и 81.90.180.173) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:

Comss.one Secure DNS

Выполните проверку работы добавленного DoH-сервера.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?