Windows 11 получила поддержку DNS-over-HTTPS. Как включить шифрование DNS-запросов

Microsoft добавила в Windows 11 поддержку протокола DNS-over-HTTPS, который позволяет зашифровать DNS-запросы для обхода цензуры и отслеживания активности

При подключении к любому сайту ваш компьютер сначала запрашивает у сервера доменных имен (DNS) IP-адрес целевого хоста. Исторически, данные запросы выполнялись в простом текстовом виде, что создавало высокие риски отслеживания со стороны интернет-провайдера или государственных структур. Технология DNS-over-HTTPS (DoH) позволяет вашему компьютеру выполнять эти DNS-запросы через зашифрованное HTTPS-соединение.

В некоторых странах правительство блокирует доступ к определенным сайтам за счет отслеживания DNS-трафика. В таких случаях DoH позволяет обходить цензуру, предотвращать спуфинг-атаки и повысить уровень конфиденциальности.

Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DNS-over-HTTPS. Тем не менее, безопасный протокол используется только в браузере, а не в других приложениях, запущенных на компьютере.

Вот почему важно иметь поддержку DoH на уровне операционной системы — тогда все DNS-запросы будут зашифрованы.

Windows 11 поддерживает DNS-over-HTTPS

Microsoft впервые представила поддержку DNS-over-HTTPS в предварительной сборке Windows 10 Insider Preview build 20185, но несколько сборок спустя технология была отключена.

В Windows 11 Microsoft снова включила функцию DoH в инсайдерской сборке Windows 11 Build 22000.51 (Dev). Протестировать ее можно, перейдя в меню:

Для Ethernet подключения:

Параметры > Network & Internet > Ethernet > Назначение DNS-сервера > Изменить

Для беспроводной сети:

Параметры > Network & Internet > Wi-Fi > Свойства [название_беспроводной_сети] > Назначение DNS-сервера > Изменить

Если на устройстве указаны DNS-серверы, которые поддерживают DNS-over-HTTPS, то вы увидите параметр «Шифрование DNS», в котором можно выбрать DoH. Доступны следующие варианты:

Только незашифрованные — использование стандартного DNS без шифрования.
Только зашифрованные (DNS поверх HTTPS) — использование только DoH.
Зашифрованный предпочтительно, незашифрованный — попытаться использовать DoH, в случае недоступности вернуться к стандартному DNS без шифрования.

В настоящее время Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически использоваться функцией Windows 11 DNS-over-HTTPS:

Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1
Google: DNS-серверы 8.8.8.8 и 8.8.4.4
Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112

Чтобы посмотреть текущие настройки DNS-over-HTTPS в Windows 11 можно использовать следующие команды:

Используем netsh:

netsh dns show encryption

Используем PowerShell:

Get-DnsClientDohServerAddress

Администраторы могут указать собственные DNS-сервера с поддержкой DoH с помощью следующих команд:

Используем netsh:

netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no

Используем PowerShell:

Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

Microsoft уточняет, что вариант с автоматическим определением DoH для настроенного DNS-сервера был бы предпочтительным, но мог вызвать повышенные риски для конфиденциальности.

В новом сообщении блога Томми Дженсен, менеджер программ группы Windows Core Networking пояснил:

Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем обработки доменного имени. Однако мы решили не допускать этого. Данный подход будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для начальной загрузки. Это означает, что узел на сетевом пути может злонамеренно изменить или заблокировать запрос имени сервера DoH. Сейчас единственный способ избежать этого - заранее сообщить Windows о сопоставлении IP-адресов и шаблонов DoH.

В будущем Microsoft планирует узнавать о новых конфигурациях сервера DoH с DNS-сервера, используя технологии обнаружения назначенных преобразователей (Discovery of Designated Resolvers, DDR) и обнаружения назначенных в сети преобразователей (Discovery of Network-designated Resolvers, DNR), которые были предложены группе IETF ADD WG.

Как управлять DoH с помощью групповых политик

Microsoft также добавила возможность управлять настройками DNS-over-HTTPS в Windows 11 с помощью групповых политик.

В Windows 11 Microsoft представила политику Настройка разрешения имен DNS поверх HTTPS (DOH) в разделе Конфигурация компьютера > Административные шаблоны > Сеть > DNS-клиент.

Эта политика позволяет настроить использование стандартного незашифрованного DNS, предпочтение DoH или требование DoH.

2