Sdílet prostřednictvím

Zabezpečení klienta DNS přes PROTOKOL HTTPS (DoH)

Počínaje Windows Serverem 2022 podporuje klient DNS přes HTTPS (DoH). Pokud je povolená funkce DoH, dotazy DNS mezi klientem DNS systému Windows Server a serverem DNS se předávají přes zabezpečené připojení HTTPS místo v prostém textu. Předáním dotazu DNS přes šifrované připojení je chráněný před zachycením nedůvěryhodnými třetími stranami.

Konfigurace klienta DNS pro podporu doH

Klienta Windows Serveru můžete nakonfigurovat tak, aby používal DoH, pouze pokud je primární nebo sekundární server DNS vybraný pro síťové rozhraní na seznamu známých serverů DoH. Klienta DNS můžete nakonfigurovat tak, aby vyžadoval DoH, požadavek DoH nebo používal pouze tradiční dotazy DNS ve formátu prostého textu. Pokud chcete nakonfigurovat klienta DNS tak, aby podporoval DoH na Windows Serveru s desktopovým prostředím, postupujte takto:

  1. V ovládacím panelu Nastavení systému Windows vyberte Síť a Internet.

  2. Na stránce Síť a Internet vyberte Ethernet.

  3. Na obrazovce Sítě Ethernet vyberte síťové rozhraní, které chcete nakonfigurovat pro doH.

    snímek obrazovky nastavení sítě Ethernet

  4. Na obrazovce Síť se posuňte dolů k nastavení DNS a vyberte tlačítko Upravit .

  5. Na obrazovce Upravit nastavení DNS vyberte v rozevíracím seznamu Nastavení automatické nebo ruční IP adresy ruční ruční nastavení. Toto nastavení umožňuje nakonfigurovat upřednostňované servery DNS a alternativní servery DNS. Pokud se adresy těchto serverů nacházejí v seznamu známých serverů DoH, povolí se rozevírací seznam upřednostňovaného šifrování DNS . Můžete si vybrat mezi následujícími nastaveními a nastavit upřednostňované šifrování DNS:

    • Šifrované jenom (DNS přes HTTPS) Při výběru tohoto nastavení se veškerý provoz dotazů DNS bude předávat přes PROTOKOL HTTPS. Toto nastavení poskytuje nejlepší ochranu provozu dotazů DNS. To ale také znamená, že překlad DNS nedojde, pokud cílový server DNS nemůže podporovat dotazy DoH.

    • Šifrování je upřednostňováno, nešifrování je povoleno. Při výběru tohoto nastavení se klient DNS pokusí použít doH a pak se vrátí k nešifrovaným dotazům DNS, pokud to není možné. Toto nastavení poskytuje nejlepší kompatibilitu pro servery DNS podporující DoH, ale pokud se dotazy DNS přepnou z DoH na prostý text, nebude vám k dispozici žádné oznámení.

    • Pouze nešifrované. Veškerý provoz dotazů DNS na zadaný server DNS není zašifrovaný. Toto nastavení nakonfiguruje klienta DNS tak, aby používal tradiční dotazy DNS ve formátu prostého textu.

      snímek obrazovky s nastavením DNS

  6. Chcete-li použít nastavení DoH pro klienta DNS, vyberte Uložit .

Pokud konfigurujete adresu serveru DNS pro klienta pomocí PowerShellu pomocí rutiny Set-DNSClientServerAddress , nastavení DoH bude záviset na tom, jestli je záložní nastavení serveru v seznamu známých tabulek serverů DoH. V současné době nemůžete konfigurovat nastavení DoH pro klienta DNS v systému Windows Server 2022 pomocí Centra pro správu systému Windows nebo sconfig.cmd.

Konfigurace DoH prostřednictvím zásad skupiny

Nastavení místních a doménových zásad skupiny v systému Windows Server 2022 zahrnuje zásadu Konfigurace DNS přes HTTPS (DoH) pro překlad názvů. Můžete ho použít ke konfiguraci klienta DNS tak, aby používal DoH. Tato zásada se nachází v Computer Configuration\Policies\Administrative Templates\Network\DNS Client uzlu. Pokud je tato zásada povolená, můžete nakonfigurovat následující nastavení:

  • Povolit DoH. Dotazy budou provedeny pomocí DoH, pokud zadané servery DNS podporují protokol. Pokud servery nepodporují DoH, budou vydány nešifrované dotazy.

  • Zakázat DoH. Zabrání použití doH s dotazy klienta DNS.

  • Vyžadovat DoH. Bude vyžadovat, aby se dotazy prováděly pomocí DoH. Pokud nakonfigurované servery DNS nepodporují DoH, překlad názvů selže.

    snímek obrazovky s konfigurací DNS

Nepovolujte možnost Vyžadovat doH pro počítače připojené k doméně jako služba Active Directory Domain Services je silně závislá na DNS, protože služba Windows Server DNS server nepodporuje dotazy DoH. Pokud potřebujete, aby byl provoz dotazů DNS v síti služby Active Directory Domain Services šifrovaný, zvažte implementaci pravidel zabezpečení připojení založených na protokolu IPsec pro ochranu tohoto provozu. Další informace najdete v tématu Zabezpečení kompletních připojení IPsec pomocí protokolu IKEv2 .

Zjistit, které servery DoH jsou na seznamu známých serverů

Windows Server se dodává se seznamem serverů, které jsou známé tím, že podporují DoH. Pomocí rutiny Get-DNSClientDohServerAddress PowerShellu můžete určit, které servery DNS jsou v tomto seznamu.

snímek obrazovky s příkazem PowerShellu

Výchozí seznam známých serverů DoH je následující:

Vlastník serveru IP adresy serveru DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Čtyřkolka 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Přidání nového serveru DoH do seznamu známých serverů

Nové servery DoH můžete přidat do seznamu známých serverů pomocí rutiny PowerShellu Add-DnsClientDohServerAddress . Zadejte adresu URL šablony DoH a určete, jestli klientovi umožníte vrátit se do nešifrovaného dotazu, pokud by zabezpečený dotaz selhal. Syntaxe tohoto příkazu je:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Použijte tabulku zásad pro rozlišení názvů s DoH

Tabulku zásad vyhodnocování názvů (NRPT) můžete použít ke konfiguraci dotazů na konkrétní prostor názvů DNS pro použití konkrétního serveru DNS. Pokud je známo, že server DNS podporuje DoH, budou dotazy související s danou doménou prováděny pomocí DoH, nikoli nešifrovaným způsobem.