Client DNS sécurisé sur HTTPS (DoH)
À compter de Windows Server 2022, le client DNS prend en charge DoH (DNS-over-HTTPS). Lorsque DoH est activé, les requêtes DNS entre le client DNS de Windows Server et le serveur DNS passent via une connexion HTTPS sécurisée plutôt qu’en texte brut. En passant la requête DNS via une connexion chiffrée, elle est protégée contre l’interception par des tiers non approuvés.
Configurer le client DNS pour prendre en charge DoH
Vous pouvez configurer le client Windows Server pour utiliser DoH uniquement si le serveur DNS principal ou secondaire sélectionné pour l’interface réseau figure dans la liste des serveurs DoH connus. Vous pouvez configurer le client DNS pour exiger DoH, demander DoH ou utiliser uniquement des requêtes DNS en texte brut classiques. Pour configurer le client DNS pour prendre en charge DoH sur Windows Server avec l’expérience de bureau, procédez comme suit :
Dans le panneau de configuration Windows Paramètres, sélectionnez Internet & réseau.
Dans la page Internet réseau , sélectionnez Ethernet.
Sur l’écran Ethernet, sélectionnez l’interface réseau que vous souhaitez configurer pour DoH.
Sur l’écran Réseau, faites défiler jusqu’à Paramètres DNS et sélectionnez le bouton Modifier.
Dans l’écran Modifier les paramètres DNS, sélectionnez Manuel dans la liste déroulante des paramètres IP automatiques ou manuels. Ce paramètre vous permet de configurer le DNS préféré et les autres serveurs DNS. Si les adresses de ces serveurs sont présentes dans la liste des serveurs DoH connus, la liste déroulante de Chiffrement DNS préféré est activée. Vous pouvez choisir entre les paramètres suivants pour définir le chiffrement DNS préféré :
Chiffré uniquement (DNS sur HTTPS). Lorsque ce paramètre est choisi, tout le trafic de requête DNS passe sur HTTPS. Ce paramètre fournit la meilleure protection pour le trafic de requête DNS. Toutefois, cela signifie également que la résolution DNS ne se produit pas si le serveur DNS cible ne peut pas prendre en charge les requêtes DoH.
Chiffrement préféré, non chiffré autorisé. Lorsque ce paramètre est choisi, le client DNS tente d’utiliser DoH, puis revient aux requêtes DNS non chiffrées si cela n’est pas possible. Ce paramètre fournit la meilleure compatibilité pour les serveurs DNS compatibles DoH, mais vous ne serez pas fourni avec une notification si les requêtes DNS sont passées du DoH au texte brut.
Non chiffré uniquement. Tout le trafic de requête DNS vers le serveur DNS spécifié n’est pas chiffré. Ce paramètre configure le client DNS pour utiliser des requêtes DNS en texte brut classiques.
Sélectionnez Enregistrer pour appliquer les paramètres DoH au client DNS.
Si vous configurez l’adresse du serveur DNS pour un client à l’aide de PowerShell à l’aide de l’applet de commande Set-DNSClientServerAddress
, le paramètre DoH dépend du paramètre de secours du serveur dans la liste des serveurs DoH connus. À l’heure actuelle, vous ne pouvez pas configurer les paramètres DoH pour le client DNS sur Windows Server 2022 à l’aide de Windows Admin Center ou de sconfig.cmd.
Configuration du DoH via stratégie de groupe
Les paramètres de stratégie de groupe locaux et de domaine Windows Server 2022 incluent la stratégie de résolution de noms Configurer DNS sur HTTPS (DoH). Vous pouvez l’utiliser pour configurer le client DNS pour utiliser DoH. Cette stratégie se trouve dans le nœud Computer Configuration\Policies\Administrative Templates\Network\DNS Client
. Quand elle est activée, cette stratégie peut être configurée avec les paramètres suivants :
Autoriser DoH. Les requêtes seront effectuées à l’aide de DoH si les serveurs DNS spécifiés prennent en charge le protocole. Si les serveurs ne prennent pas en charge DoH, des requêtes non chiffrées sont émises.
Interdire DoH. Empêchera l’utilisation de DoH avec des requêtes client DNS.
Exiger DoH. Nécessite que les requêtes soient effectuées à l’aide de DoH. Si les serveurs DNS configurés ne prennent pas en charge DoH, la résolution de noms échoue.
N’activez pas l’option « Exiger DoH » pour les ordinateurs joints à un domaine, car Active Directory Domain Services dépend fortement du DNS, étant donné que le service Serveur DNS Windows Server ne prend pas en charge les requêtes DoH. Si vous avez besoin que le trafic de requête DNS sur Active Directory Domain Services réseau soit chiffré, envisagez d’implémenter des règles de sécurité de connexion basées sur IPsec pour protéger ce trafic. Pour plus d’informations, consultez Sécurisation des connexions IPsec de bout en bout à l’aide d’IKEv2.
Déterminer les serveurs DoH figurant dans la liste des serveurs connus
Windows Server est fourni avec une liste de serveurs connus pour prendre en charge DoH.
Vous pouvez déterminer quels serveurs DNS se trouvent dans cette liste à l’aide de l’applet de commande Get-DNSClientDohServerAddress
PowerShell.
La liste par défaut des serveurs DoH connus est la suivante :
Propriétaire du serveur | Adresses IP du serveur DNS |
---|---|
Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Ajouter un nouveau serveur DoH à la liste des serveurs connus
Vous pouvez ajouter de nouveaux serveurs DoH à la liste des serveurs connus à l’aide de l’applet de commande Add-DnsClientDohServerAddress
PowerShell. Spécifiez l’URL du modèle DoH et indiquez si vous autoriserez le client à revenir à une requête non chiffrée si la requête sécurisée échoue. Syntaxe de la commande :
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Utiliser la table de stratégie de résolution de noms avec DoH
Vous pouvez utiliser la table de stratégie de résolution de noms (NRPT) pour configurer des requêtes sur un espace de noms DNS spécifique pour utiliser un serveur DNS spécifique. Si le serveur DNS est connu pour prendre en charge DoH, les requêtes liées à ce domaine sont effectuées à l’aide de DoH plutôt que d’une manière non chiffrée.