Microsoft додала у Windows 11 підтримку протоколу DNS-over-HTTPS, який дозволяє зашифрувати DNS-запити для обходу цензури та відстеження активності.
При підключенні до будь-якого сайту ваш комп'ютер спочатку запитує у сервера доменних імен (DNS) IP-адресу цільового хоста. Історично, ці запити виконувались у простому текстовому вигляді, що створювало високі ризики відстеження з боку інтернет-провайдера чи державних структур. Технологія DNS-over-HTTPS (DoH) дозволяє вашому комп'ютеру виконувати ці DNS-запити через зашифроване HTTPS-з'єднання.
У деяких країнах уряд блокує доступ до певних сайтів через відстеження DNS-трафіку. У таких випадках DoH дозволяє обходити цензуру, запобігати спуфінгу-атакам і підвищити рівень конфіденційності.
Браузери на основі Chromium, такі як Google Chrome та Microsoft Edge, а також Mozilla Firefox, вже додали підтримку DNS-over-HTTPS. Проте безпечний протокол використовується лише у браузері, а не в інших програмах, запущених на комп'ютері.
Ось чому важливо мати підтримку DoH на рівні операційної системи, тоді всі DNS-запити будуть зашифровані.
Windows 11 підтримує DNS-over-HTTPS. Як увімкнути нативний DoH-клієнт.
Microsoft вперше представила підтримку DNS-over-HTTPS в попередній збірці Windows 10 Insider Preview build 20185, але через кілька технологій була відключена.
У Windows 11 Microsoft знову увімкнула функцію DoH в інсайдерській збірці Windows 11 Build 22000.51 (Dev), і вона доступна в початковому релізі Windows 11. Протестувати її можна, перейшовши в меню:
- Для підключення Ethernet:
Установки -> Мережа & Інтернет -> Ethernet -> Призначення DNS-сервера -> Редагувати
- Для бездротової мережі:
Установки -> Мережа & Інтернет -> Wi-Fi -> Властивості [назва_бездротової_мережі] -> Призначення DNS-сервера -> Редагувати
Якщо на пристрої вказано DNS-сервери, які підтримують DNS-over-HTTPS , ви побачите параметр «Шифрування DNS», в якому можна вибрати DoH. Доступні такі варіанти:
- Тільки незашифровані – використання стандартного DNS без шифрування.
- Тільки зашифровані (DNS поверх HTTPS) – використання лише DoH.
- Переважно зашифрований, незашифрований — спробувати використовувати DoH, у разі недоступності повернутися до стандартного DNS без шифрування.
- Cloudflare: DNS-сервери 1.1.1.1 та 1.0.0.1
- Google: DNS-сервери 8.8.8.8 та 8.8.4.4
- Quad9: DNS-сервери 9.9.9.9 та 149.112.112.112
Для перегляду поточних параметрів DNS-over-HTTPS у Windows 11 можна використовувати такі команди:
- Використовуємо netsh:
netsh dns show encryption
- Використовуємо PowerShell:
Get-DnsClientDohServerAddress
Адміністратори можуть вказати власні DNS-сервери з підтримкою DoH за допомогою наступних команд:
- Використовуємо netsh:
netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no
- Використовуємо PowerShell:
Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True
Microsoft уточнює, що варіант з автоматичним визначенням DoH для налаштованого DNS-сервера був би кращим, але міг викликати підвищені ризики для конфіденційності.
У новому повідомленні блогу Томмі Дженсен, менеджер програм групи Windows Core Networking пояснив:
Для користувачів та адміністраторів було б простіше, якби ми дозволили серверу DoH визначати свою IP-адресу шляхом обробки доменного імені. Однак ми вирішили цього не допускати. Даний підхід означатиме, що до того, як ми зможемо встановити DoH-з'єднання, ми повинні спочатку надіслати простий текстовий DNS-запит для початкового завантаження.
Це означає, що мережний вузол може зловмисно змінити або заблокувати запит імені сервера DoH. Зараз єдиний спосіб уникнути цього – заздалегідь повідомити Windows про зіставлення IP-адрес та шаблонів DoH.
У майбутньому Microsoft планує дізнаватися про нові конфігурації сервера DoH з DNS-сервера, використовуючи технології виявлення призначених перетворювачів (Discovery of Designated Resolvers, DDR) та виявлення призначених у мережі перетворювачів (Discovery of Network-designated Resolvers, DNR), які були запропоновані групі IE ADD WG.
Як управляти DoH за допомогою групових політик Windows 11?
Microsoft також додала можливість керувати налаштуваннями DNS-over-HTTPS у Windows 11 за допомогою групових політик.
У Windows 11 Microsoft представила політику «Налаштування дозволу імен DNS поверх HTTPS (DOH)» у розділі «Конфігурація комп'ютера» -> «Адміністративні шаблони» -> «Мережа» -> «DNS-клієнт».
Ця політика дозволяє настроїти використання стандартного незашифрованого DNS, перевагу DoH або вимогу DoH.
Як перевірити роботу DNS over HTTPS у Windows 11?
Тепер, коли Windows 11 налаштована на використання протоколу DNS over HTTPS, ви можете перевірити роботу шифрування DNS-трафіку – DNS трафік із вашого пристрою більше не повинен реєструватися у звичайному текстовому вигляді. Ви можете зробити перевірку за допомогою аналізатора мережного трафіку Packetmon, що входить до складу Windows.
Відкрийте командний рядок або PowerShell від імені адміністратора (можна використовувати Windows Terminal). Запустіть наступну команду, щоб скинути всі фільтри пакетів мережевого трафіку, які міг би використовувати PacketMon:
Виконайте наступну команду, щоб додати фільтр пакетів для порту 53, який використовує класичний DNS (і який тепер не повинен пропускати трафік, оскільки ми використовуємо лише DNS over HTTPS).pktmon filter remove
pktmon filter add -p 53
Виконайте наступну команду, щоб розпочати реєстрацію трафіку у реальному часі. У командному рядку повинні виводитись всі пакети порту 53. Якщо ваш пристрій налаштований лише на використання DoH-серверів, то команда не покаже жодних значень.
pktmon start --etw -m real-time
Спиок альтернативних DNS, які можна використовувати.
- AdGuard Software Limited (Кіпр)
- Quad9 DNS Service (Швейцарія)
- Cloudflare (США)
- Goolge (США)
Рішення AdGuard DNS, дозволяє блокувати рекламу на рівні DNS. Це рішення, дозволяє без допомоги браузерних розширень, заблокувати рекламу на сайтах. Більш того, використання AdGuard DNS, дає можливість блокувати рекламу у месенджерах та інших программах, які встановлені на пристрої. AdGuard DNS можна використовувати і на своєму роутері.