Краткое содержание:

Microsoft представила поддержку DNS через TLS (DOT) в предварительном просмотре Windows 11 Insider в канале DEV. DOT – это альтернативный протокол DNS, который работает непосредственно через туннель TLS без уровня HTTP, что делает его быстрее, чем DNS, в HTTPS (DOH). В этой статье объясняется разница между DOT и DOH, как реализовать DOT в Windows 11, настроить DNS -сервер и активировать DOT, используя команды Netsh. Автор завершает, утверждая, что выбор между DOH и DOT зависит от конкретных требований, таких как изоляция трафика DNS или предпочтение общения через стандартный порт HTTPS.

1. В чем разница между точкой и доми?

DOT отправляет запросы DNS через туннель TLS, в то время как DOH устанавливает HTTP -соединение над TLS. DOT использует порт 853 по умолчанию, тогда как DOH обычно использует порт 443. DOH смешивает DNS -запросы с другим зашифрованным HTTPS -трафиком, что затрудняет сетевые администраторы для мониторинга и блокировки запросов DNS, в то время как DOT позволяет идентифицировать и предотвращать вредоносные трафики.

2. Как DOT реализуется в Windows 11?

Реализация DOT в настоящее время доступна в предварительном просмотре Windows 11 Insider, начиная с Build 25158. Тем не менее, его можно настроить только через командную строку, так как настройки групповой политики еще нет.

3. Как можно настроить DNS -сервер для DOT?

Чтобы включить DOT, DNS -сервер, который поддерживает этот протокол, должен быть указан вручную. Это можно сделать с помощью приложения «Настройки» в сети в свойствах подключения. IP -адрес DNS -сервера может быть введен в соответствии с настройками IPv4 или IPv6.

4. Как DOT можно активировать с помощью команд Netsh?

Следующие команды Netsh можно использовать для активации DOT:

Netsh DNS добавить Global Dot = да

Netsh DNS Добавить сервер шифрования = dothost =: autoupgrade = yes

ipconfig /flushdns

Чтобы проверить, используется ли DOT, можно использовать команду «Netsh DNS Show Global», которая должна отображать «Настройки DOT: включено». Кроме того, команда «Netsh DNS показывает шифрование» можно использовать для проверки конкретных настройки DNS -сервера DNS -сервера.

5. Каков вывод о точке в Windows 11?

С DOT Microsoft предлагает поддержку второго безопасного протокола DNS в дополнение к DOH в Windows 11. Выбор между DOH и DOT зависит от конкретных требований, таких как изоляция трафика DNS или предпочтение общения через стандартный порт HTTPS.

6. Поддержит ли Microsoft DOH и DOT в Windows Server для внутреннего использования?

В настоящее время DOH и DOT поддерживаются только с несколькими общественными серверами DNS. Неясно, добавит ли Microsoft поддержку DOH и DOT в Windows Server для внутреннего использования.

Microsoft добавляет DNS Windows 10 DNS через раздел «Настройки HTTPS»

В качестве альтернативы, вы можете выполнить эту задачу с помощью PowerShell, используя Set-DnsClientSerVerDdress .

Активируйте DNS по TLS (DOT) в Windows 11

Текущий предварительный просмотр инсайдеров в канале DEV включает в себя поддержку DNS через TLS (DOT). Это альтернативный зашифрованный протокол DNS для DNS на HTTPS (DOH). Он работает непосредственно через туннель TLS без уровня HTTP и поэтому быстрее. Настройка выполнена с помощью Netsh.

1. Точка против DOH
2. Реализация DOT в Windows 11
3. Настройте DNS -сервер
4. Активировать точку
5. Заключение

Wolfgang Sommergut имеет более чем 20 -летний опыт работы в ИТ -журналистике. Он также работал системным администратором и в качестве технического консультанта. Сегодня он управляет немецкой публикацией Windowspro.де.

Последние сообщения Wolfgang Sommergut (см. Все)

• Устранение неполадок без сети или Интернета на рабочей станции VMware – Thu, 4 мая 2023 г
• Resolve -Dnsname: NSLOKUP для PowerShell – Mon, 1 мая 2023 г
• Удаление обновлений с использованием WSUS – Mon, 24 апреля 2023 г

Подобно DOH, DOT предназначен для защиты пользователей от падения жертвы до манипулируемого DNS-сервера или атаки человека в среднем уровне, когда запросы DNS передаются в простом тексте.

Для обоих, однако, относительно мало серверов DNS поддерживают эту технологию. В большинстве случаев они предоставляются государственными провайдерами, такими как Google или Cloudflare.

Точка против DOH

DNS Over TLS отправляет нормальные запросы DNS через туннель TLS, в то время как DNS через HTTPS устанавливает HTTP -соединение над TLS. Хотя это создает некоторые накладные расходы, связь обычно проходит через порт 443, который открыт в большинстве средств. Dot, с другой стороны, по умолчанию использует порт 853.

С DOH запросы DNS смешаны с другим зашифрованным HTTP -трафиком. Это имеет преимущества конфиденциальности, потому что подслушитель не может отличить запросы DNS от других запросов HTTPS.

Но именно поэтому DOH затрудняет для сетевого администратора мониторинг и блокировку DNS -запросы. Однако при DOT можно определить злонамеренное движение и, таким образом, предотвратить.

Реализация DOT в Windows 11

В Windows 11 пользователи теперь имеют возможность выбрать между двумя протоколами. Несмотря на то, что DOH в настоящее время уже находится в Windows 11, первая реализация DOT доступна только в предварительных просмотрах из Build 25158 на.

Кроме того, в настоящее время функция может быть настроена только через командную строку, и, в отличие от DOH, Microsoft еще не предлагает настройку групповой политики для нее.

Настройте DNS -сервер

Чтобы включить DOT, вы должны (вручную) указать сервер DNS, который поддерживает этот протокол. Это можно сделать через Настройки приложение под Сеть Например, в свойствах соединения, Ethernet или Wi-Fi.

Редактировать настройки соединений DNS

Там вы редактируете назначение сервера DNS и вводите IP -адрес сервера DOT в разделе IPv4 или IPv6, по мере необходимости.

Введите DNS -сервер для IPv4 вручную в приложении настроек

В качестве альтернативы, вы можете выполнить эту задачу с помощью PowerShell, используя Set-DnsClientSerVerDdress .

Активировать точку

Для фактической активации DOT используйте эти команды:

Netsh DNS Добавить Global Dot = YES Netsh DNS Добавить сервер шифрования = dothost =: autoupgrade = yes ipconfig /flushdns

Чтобы увидеть, используется ли DOT, снова вызовите Netsh:

Netsh DNS Show Global

Вывод этой команды должен содержать строку «Настройки точек: включено».

Активируйте точку с помощью Netsh, а затем проверьте настройки

Наконец, вы можете проверить правильные настройки DOT конкретного сервера DNS следующим образом:

Netsh DNS показывает шифрование

Настроенный DNS -сервер DNS теперь использует DNS по TLS

Убедитесь, что вывод теперь содержит запись для «DNS Over TLS -хоста» для выбранного DNS -сервера, значение для «Автоматического обновления» – это да, и «UDP Swarkback» установлен на нет.

Заключение

С DNS через TLS Microsoft поддерживает второй защитный протокол DNS в Windows 11, в дополнение к DNS над HTTPS. Какой вы выберете, зависит от соответствующих требований. Ключевым фактором в решении является то, являются ли администраторы изолировать DNS -трафик или является ли связь через стандартный порт HTTPS.

Подписаться на информационный бюллетень 4Sysops!

Оба протокола в настоящее время могут использоваться только с горсткой публичных серверов DNS. Тем не менее, неясно, будет ли Microsoft поддержать DOH и DOT в Windows Server для внутреннего использования.

Microsoft добавляет DNS Windows 10 DNS через раздел «Настройки HTTPS»

Microsoft объявила, что клиенты Windows 10 теперь могут настраивать DNS через HTTPS (DOH) непосредственно из приложения «Настройки», начиная с выпуска Windows 10 Insider Preview Build 20185 для инсайдеров Windows на канале разработчика.

Добавление поддержки протокола DOH в будущем выпуске Windows 10 было объявлено Microsoft в ноябре 2018 года, включение поддержки DNS Over TLS (DOT) также оставлена ​​на таблице.

DOH позволяет разрешить DNS по сравнению с зашифрованными HTTPS -соединениями, в то время как DOT шифрует DNS -запросы через протокол безопасности транспортного уровня (TLS) вместо использования простых текстовых поисков DNS.

Для тех, кто не знаком с новыми именами каналов Windows 10, Microsoft пересмотрела программу Windows Insider и отошла от выпуска колец и выпустить каналы 29 июня, когда:

• Быстрое кольцо стало каналом разработчика
• Медленное кольцо стало бета -каналом
• Выпуск предварительного просмотра стал каналом предварительного просмотра выпуска.

Инсайдеры Windows в канале Dev, которые хотят обновить на новую сборку Windows 10, можно проверить новые обновления из диалога обновления Windows.

DOH управляет настройками сети Windows 10

Как поделился Windows Insider Program старший менеджер программы Брэндон Лебланк, клиенты могут настроить зашифрованные DNS, используя приложение «Настройки», начиная с Windows 10 Dev Channel Build 20185.

Для подключений Ethernet (Wired) пользователи могут получить доступ к новым элементам управления из всплывающего окна, открывающегося после перехода на настройки> «Сеть и Интернет»> «Статус», нажатие на свойства, а затем выбирая Изменить IP -задание или Редактировать назначение сервера DNS.

Пользователи с Wi-Fi (беспроводной) соединениями могут открыть всплывающее окно управления DOH, нажав на ссылку свойств адаптера, а затем выбрав Изменить IP -задание или Редактировать назначение сервера DNS.

По словам Леблана, зашифрованные элементы управления DNS еще не доступны, перейдя на страницы собственности отдельных сетей.

Чтобы дать DOH вращение, вы можете добавить любой IP-адрес поддерживаемого в настоящее время сервера DNS с поддержкой DOH и выбрать предпочтительный метод шифрования DNS, чтобы автоматически шифровать ваши запросы DNS.

Полный список серверов DOH DNS, которые вы можете использовать, доступен в таблице, встроенной ниже.

Владелец сервера	IP -адреса сервера
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844
Quad9	9.9.9.9 149.112.112.112 2620: fe :: fe 2620: Fe :: Fe: 9

“После включения шифрования вы можете это подтвердить’S Работа, глядя на прикладные серверы DNS в свойствах сети и видите их как «(зашифрованные) серверы», – объясняет Лебланк.

Microsoft также предоставляет инструкции о том, как использовать пользовательские серверы DOH, вручную добавляя DNS-серверы с поддержкой DOH, которые не в списке автоматического производства по умолчанию.

Тестирование, работает ли DOH

Чтобы проверить, действительно ли ваши запросы DNS действительно зашифрованы, вы можете использовать утилиту командной строки PacketMon для проверки сетевого трафика, выходящего в сеть через порт 53 (порт, используемый для незашифрованных запросов DNS)-после того.

Для этого вам нужно открыть командную строку или окно PowerShell, а затем запустить следующие команды для сброса фильтров сетевого трафика Packetmon, добавить фильтр трафика для порта 53 и начать журнал трафика в реальном времени:

Pktmon Filter Удалить
PKTMON Filter Add -p 53
Pktmon Start -etw -l в реальном времени

Усыновление других поставщиков и планы на будущее

Mozilla выпустила DNS-Over-HTTPS по умолчанию со всеми американскими пользователями Firefox, начиная с 25 февраля 2020 года, что позволяет поставщику DNS CloudFlare и позволяет пользователям переключаться на NextDNS или других пользовательских поставщиков из сети браузера.

Google проводит ограниченное испытание DOH на всех платформах (кроме Linux и iOS), начиная с выпуска Chrome 79.

Однако, в отличие от Mozilla, Google автоматически не меняет поставщика DNS, но вместо этого он обновляет протокол разрешения DNS Chrome только тогда, когда поставщик DNS по умолчанию способен DOH.

В апреле ИТ-директора правительственных учреждений США были посоветованы отключить сторонние зашифрованные услуги DNS до тех пор, пока официальная федеральная служба разрешения DNS с DNS над HTTPS (DOH) и DNS над поддержкой TLS (DOT) не будет готово.

▸ Поддержка

Закажет наши руководства по настройке и часто задаваемые вопросы или используйте приведенную ниже строку поиска, чтобы найти соответствующую информацию.

Базовая конфигурация персонального компьютера

• Настройка: Ubuntu 20.04 LTS
• Настройка: macOS
• Настройка: Windows 10
• Настройка: Ubuntu 16.04 LTS
• Настройка: Ubuntu 18.04 LTS
• Настройте Quad9 с помощью нашего пакетного файла
• Настройка: Windows 8
• Настройка: Chromebook/Chromeos
• Настройка: Linux Mint 20.3 (корица)

Конфигурация персонального компьютера с шифрованием

• DNS над HTTPS – Windows 11 (нативно)
• DNS над TLS – Ubuntu 18.04/20.04 (Stubby)
• DNS над TLS – Ubuntu 20.04 (родной)
• DNS Over TLS – Windows 10 (Stubby /W Gui)
• Dnscrypt – macOS (DNScrypt -Proxy)
• DNS над TLS – macOS (Stubby)
• DNSCRYPT – Windows 10 (SimpleDnScrypt)
• DNS Over Https – Windows 10 (SimpleDnScrypt)

Конфигурация мобильного устройства

• Настройка: Quad9 подключить для Android
• Настройка: DNSCLOAK для iOS
• Настройка: Android Private DNS с Quad9

Другая конфигурация устройства

• Настройка: OpnSense и DNS над TLS
• Настройка: Pfsense и DNS над TLS
• Установка: Pi-Hole и Quad9
• Настройка: OpenWrt (luci)
• DNS Forwers: лучшие практики
• Установка: Cloudflared и Quad9
• Настройка: Windows Server DNS пересылка
• Настройка: PlayStation 4 (PS4)
• Настройка: IPFIRE и DNS над TLS
• Установка: Mikrotik Routeros и DNS над HTTPS

Концепции DNS и протоколы

• Зашифровали DNS
• Edns Client Subnet (ECS)

• Quad9 сетевых провайдеров: Вуднет, PCH.net, i3d, сети GSL
• Quad9 IPS и другие настройки
• Рекомендованная (безопасная) 2 сервис
• Безопасный сервис
• Безопасность с помощью службы поддержки ECS
• Необеспеченный сервис

• Как подтвердить, что вы используете Quad9 – Windows
• Как подтвердить, что вы используете Quad9 – Linux
• Как подтвердить, что вы используете Quad9 – macOS

• Доменная отчетность
• Как выглядит квартал от Quad9?

Quad9 Подключить мобильное приложение

DNS Over TLS – Windows 10 (Stubby /W Gui)

Обзор

ПРИМЕЧАНИЕ: Stubby с графическим интерфейсом находится в разработке. Quad9 рекомендует регулярно проверять новые выпуски .

Stubby-это приложение с открытым исходным кодом, которое действует как местный DNS Privacy Resolver Использование DNS через TLS (DOT). Stubby Encrypts DNS -запросы, отправленные с клиентского устройства (настольный компьютер или ноутбук), на резолюру DNS Conficate Resolver Увеличение конфиденциальности конечного пользователя.

Шаг 1

Шаг 2

1. Откройте Stubby из вашего списка приложений Windows (Start)
2. Выберите вкладку «сетевые профили».
3. Выбирать только Параметр «Quad9» и нажмите «Применить все».
4. Переключить устремление “и убедитесь, что статус становится” запущенным “.

Когда статус «работает», Стабби должен автоматически установить себя в качестве резолюра DNS в настройках Windows DNS, поэтому нет необходимости настраивать что -либо вручную на сетевом адаптере.

Когда вы закроете это меню, Стабби продолжит работать и быть доступным в вашем системном подносе.

Шаг 3

Убедитесь, что Stubby настроен на использование Quad9 и установите себя в качестве резолюра DNS в системе, перейдя на https: // on.Quad9.net/ для подтверждения “да” или “нет”.

Quad9
переключатель c/o
Вердстрассе 2
8004 Цюрих
Швейцария

Как включить DNS через HTTPS в Windows 10

Вы можете включить DNS через HTTPS в Windows 10 (DOH) в Windows 10, используя один из методов, доступных в ОС, включая настройки и реестр. DNS-over-HTTPS-это относительно молодой веб-протокол. Основная цель-повысить конфиденциальность и безопасность пользователей, предотвращая подслушивание и манипулирование данными DNS с помощью атак Man-in-The Middle, используя HTTPS-протокол для шифрования данных между клиентом DOH и DNS на основе DNS DNS Resolver DNS.

План поддержки DOH в Windows 10 был обнаружен с помощью ряда принципов, которые Microsoft собирается использовать при реализации функции в ОС. Microsoft планировала реализовать поддержку шифрования трафика DNS в 2019 году, но пользователи смогли попробовать эту новую функцию только в 2020 году. Таким образом, Windows 10 Build 19628 была первой сборкой, включающей поддержку DOH.

Этот пост покажет вам, как включить и настроить функцию DNS Over HTTPS (DOH) в Windows 10.

Содержимое скрывать

Включить DNS через HTTPS в Windows 10

1. Откройте приложение настроек. Вы можете нажать Win + I, чтобы открыть его быстрее.
2. Перейдите к Сеть и Интернет> Статус.
3. Нажмите на Характеристики.
4. На следующей странице нажмите на Редактировать кнопка под Настройки DNS.
5. Выбирать Руководство.
6. Укажите DNS -серверы, которые поддерживают DOH (см. Список в следующей главе).
7. Выбирать Только зашифровано (DNS над HTTP) от Предпочтительный шифрование DNS Выпадающее меню для каждого из серверов.
8. Если вы используете DNS IPv6, повторите предыдущий шаг для ее конфигурации.
9. Наконец, нажмите на Сохранять кнопка.

Вы сделали. Чтобы обнаружить, что DOH действительно работает, прокрутите содержимое страницы настроек сети. Вы должны увидеть «зашифрованные» рядом с DNS -адрес ценность на Характеристики страница.

Список общедоступных DNS -сервера, который поддерживает шифрование, можно найти в таблице ниже.

Список серверов с поддержкой DOH

Вы можете использовать следующие публичные DNS на серверах HTTPS.

Однако, если ваша версия Windows 10 не позволяет включать DNS через HTTPS в настройках, E.г. Варианты отсутствуют, вы можете применить настройку реестра, чтобы сделать то же самое. Это альтернативный метод приложения настройки.

Включите DNS через HTTPS в реестре

1. Откройте редактор реестра. Нажмите win + r и тип Regedit в коробке с пробежкой.
2. Перейти к следующему ключ реестра. Hkey_local_machine \ system \ currentControlset \ services \ dnscache \ parameters .
3. Справа измените или создайте новое 32-разрядное значение dword EnableAutodoh.
4. Установите свое значение на 2 .
5. Перезапустите Windows 10.

Это активирует DNS по HTTP, поэтому Windows 10 начнет отправлять и получать трафик DNS через безопасные, зашифрованные серверы. Тем не менее, вам нужно изменить адрес сервера DNS на один из вышеупомянутой таблицы. Вот как вы можете установить адрес сервера DNS.

Изменить адрес сервера после включения DOH

1. Откройте классическую панель управления. Нажмите Win + R и введите управление в коробке, затем нажмите Входить.
2. Идти к Панель управления \ Сеть и Интернет \ Сеть и Центр обмена.
3. Справа нажмите Изменить свойства адаптера.
4. в Сетевые соединения окно, дважды щелкните соединение сети.
5. Нажимать Характеристики в следующем окне.
6. В Адаптерные свойства, Выберите Интернет -протокол версии 4 (TCP/IPv4) вход и нажмите на Характеристики кнопка.
7. Выберите опцию “Используйте следующие адреса сервера DNS:” на Общий вкладка. Введите адрес сервера DNS, который поддерживает DOH.
8. Если ваша сеть включает IPv6, укажите серверы IPv6 для Интернет -протокол версии 6 (TCP/IPv6) вариант.
9. Нажимать ХОРОШО Чтобы применить изменение.

Наконец, вы можете проверить, работает ли DNS -HTTPS для вас после применения настройки реестра и вышеупомянутых изменений. Вы можете проверить это’S, работая, не видя более простого текстового DNS -трафика с вашего устройства.

Убедитесь, что ваши настройки DNS Over HTTPS работают

1. Откройте командную строку в качестве администратора.
2. Введите и запустите следующую команду для сброса фильтра сетевого трафика: Pktmon Filter Удалить .
3. Введите и запустите следующую команду, чтобы добавить фильтр трафика для порта 53, DNS Classic использует: Pktmon Filter Add -p 53 .
4. Запустите следующую команду, чтобы начать регистрацию трафика в реальном времени: Pktmon Start-etw -m в реальном времени .
5. Все пакеты порта 53 будут напечатаны в командную строку. Если DO работает, вы не должны видеть здесь трафик.

• Включить DNS через HTTPS в Microsoft Edge
• Как включить DNS через HTTPS (DOH) в операции
• Включить DNS через HTTPS в Chrome (DOH)
• Включить DNS через HTTPS в Firefox

RECOMMENDED: Нажмите здесь, чтобы исправить проблемы WindOWS и оптимизировать производительность системы

Winaero в значительной степени полагается на вашу поддержку. Вы можете помочь сайту продолжать приносить вам интересный и полезный контент и программное обеспечение, используя эти параметры:

Если вам нравится эта статья, пожалуйста, поделитесь ее, используя кнопки ниже. Это не займет много от вас, но это поможет нам расти. Спасибо за вашу поддержку!

Автор: Сергей Ткаченко

Сергей Ткаченко – разработчик программного обеспечения, который запустил Winaero еще в 2011 году. В этом блоге Sergey пишет обо всем, что связано с Microsoft, Windows и популярным программным обеспечением. Следуйте за ним на Telegram, Twitter и YouTube. Просмотреть все сообщения Сергея Ткаченко

Автор Сергей Ткаченко Последний раз