Compartir vía


Protección de un cliente DNS en HTTPS (DoH)

A partir de Windows Server 2022, el cliente DNS admite DNS a través de HTTPS (DoH). Cuando DoH está habilitado, las consultas DNS entre el cliente DNS de Windows Server y el servidor DNS pasan a través de una conexión HTTPS segura en lugar de en texto sin formato. Al pasar la consulta DNS a través de una conexión cifrada, se protege de la interceptación por parte de terceros que no son de confianza.

Configurar el cliente DNS para que admita DoH

Solo puede configurar el cliente de Windows Server para que use DoH si el servidor DNS principal o secundario seleccionado para la interfaz de red está en la lista de servidores DoH conocidos. Puede configurar el cliente DNS para que requiera DoH, solicitar DoH o usar solo consultas DNS de texto sin formato tradicionales. Para configurar el cliente DNS para que admita DoH en Windows Server con Desktop Experience, siga estos pasos:

  1. En el panel de control Configuración de Windows, seleccione Red e Internet.

  2. En la página Red e Internet, seleccione Ethernet.

  3. En la pantalla Ethernet, seleccione la interfaz de red que desea configurar para DoH.

    Captura de pantalla de la configuración de Ethernet

  4. En la pantalla Red, desplácese hacia abajo hasta Configuración de DNS y seleccione el botón Editar .

  5. En la pantalla Editar configuración de DNS, seleccione Manual en el menú desplegable de configuración de IP automática o manual. Esta configuración le permite configurar los servidores DNS preferidos y DNS alternativos. Si las direcciones de estos servidores están presentes en la lista de servidores DoH conocidos, se habilitará el menú desplegable Cifrado DNS preferido . Puede elegir entre las siguientes opciones de configuración para establecer el cifrado de DNS preferido:

    • Solo cifrado (DNS a través de HTTPS). Cuando se elige esta configuración, todo el tráfico de consultas DNS pasará a través de HTTPS. Esta configuración proporciona la mejor protección para el tráfico de consultas DNS. Sin embargo, también significa que la resolución de DNS no se producirá si el servidor DNS de destino no puede admitir consultas DoH.

    • Cifrado preferido, no cifrado permitido. Cuando se elige esta configuración, el cliente DNS intentará usar DoH y, a continuación, recurrirá a consultas DNS sin cifrar si eso no es posible. Esta configuración proporciona la mejor compatibilidad para los servidores DNS compatibles con DoH, pero no se le proporcionará ninguna notificación si las consultas DNS se cambian de DoH a texto sin formato.

    • Solo sin cifrar. Todo el tráfico de consultas DNS al servidor DNS especificado no está cifrado. Esta configuración configura el cliente DNS para usar consultas DNS de texto sin formato tradicionales.

      Captura de pantalla de la configuración de DNS

  6. Seleccione Guardar para aplicar la configuración de DoH al cliente DNS.

Si va a configurar la dirección del servidor DNS para un cliente mediante PowerShell mediante el Set-DNSClientServerAddress cmdlet, la configuración de DoH dependerá de si la configuración de reserva del servidor está en la tabla de la lista de servidores DoH conocidos. En la actualidad, no se pueden configurar las opciones de DoH para el cliente DNS en Windows Server 2022 mediante Windows Admin Center o sconfig.cmd.

Configuración de DoH a través de la directiva de grupo

La configuración de directiva de grupo local y de dominio de Windows Server 2022 incluye la directiva de resolución de nombres Configurar DNS a través de HTTPS (DoH). Puede usarlo para configurar el cliente DNS para usar DoH. Esta política se encuentra en el Computer Configuration\Policies\Administrative Templates\Network\DNS Client nodo. Cuando está habilitada, esta directiva se puede configurar con los siguientes valores:

  • Permitir DoH. Las consultas se realizarán mediante DoH si los servidores DNS especificados son compatibles con el protocolo. Si los servidores no son compatibles con DoH, se emitirán consultas no cifradas.

  • Prohibir DoH. Evitará el uso de DoH con consultas de cliente DNS.

  • Requiere DoH. Requerirá que las consultas se realicen mediante DoH. Si los servidores DNS configurados no son compatibles con DoH, se producirá un error en la resolución de nombres.

    Captura de pantalla de la configuración de DNS.

No habilite la opción Requerir DoH para equipos unidos a un dominio, ya que Servicios de dominio de Active Directory depende en gran medida de DNS porque el servicio Servidor DNS de Windows Server no admite consultas de DoH. Si necesita que se cifre el tráfico de consultas DNS en la red de Servicios de dominio de Active Directory, considere la posibilidad de implementar reglas de seguridad de conexión basadas en IPsec para proteger este tráfico. Consulte Protección de conexiones IPsec de extremo a extremo mediante IKEv2 para obtener más información.

Determinar qué servidores DoH están en la lista de servidores conocidos

Windows Server se envía con una lista de servidores que se sabe que son compatibles con DoH. Puede determinar qué servidores DNS están en esta lista mediante el cmdlet de Get-DNSClientDohServerAddress PowerShell.

Captura de pantalla del comando de PowerShell

La lista predeterminada de servidores DoH conocidos es la siguiente:

Propietario del servidor Direcciones IP del servidor DNS
Cloudflare (en inglés) 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google (en inglés) 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Cuádruple 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Agregar un nuevo servidor DoH a la lista de servidores conocidos

Puede agregar nuevos servidores DoH a la lista de servidores conocidos mediante el cmdlet de Add-DnsClientDohServerAddress PowerShell. Especifique la dirección URL de la plantilla DoH y si permitirá que el cliente recurra a una consulta sin cifrar en caso de que se produzca un error en la consulta segura. La sintaxis de este comando es:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Uso de la tabla de directivas de resolución de nombres con DoH

Puede usar la tabla de directivas de resolución de nombres (NRPT) para configurar consultas a un espacio de nombres DNS específico para usar un servidor DNS específico. Si se sabe que el servidor DNS es compatible con DoH, las consultas relacionadas con ese dominio se realizarán mediante DoH en lugar de hacerlo sin cifrar.