Client DNS sécurisé sur HTTPS (DoH)

À compter de Windows Server 2022, le client DNS prend en charge DNS-over-HTTPS (DoH). Quand le DoH est activé, les requêtes DNS entre le client DNS de Windows serveur et le serveur DNS passent une connexion HTTPS sécurisée plutôt qu’en texte brut. En passant la requête DNS sur une connexion chiffrée, elle est protégée contre l’interception par des tiers non approuvés.

Configurer le client DNS pour prendre en charge DoH

Vous ne pouvez configurer que le client serveur Windows pour utiliser DoH si le serveur DNS principal ou secondaire sélectionné pour l’interface réseau figure dans la liste des serveurs DoH connus. Vous pouvez configurer le client DNS pour exiger DoH, demander DoH ou utiliser uniquement des requêtes DNS de texte brut classiques. Pour configurer le client DNS pour prendre en charge DoH sur Windows Server avec l’expérience de bureau, procédez comme suit :

  1. Dans le panneau de configuration Windows Paramètres, sélectionnez Internet réseau&.

  2. Dans la page Internet réseau & , sélectionnez Ethernet.

  3. Sur l’écran Ethernet, sélectionnez l’interface réseau que vous souhaitez configurer pour DoH.

    screen shot of ethernet settings

  4. Sur l’écran Réseau, faites défiler jusqu’aux paramètres DNS et sélectionnez le bouton Modifier .

  5. Dans l’écran Modifier les paramètres DNS, sélectionnez Manuel dans la liste déroulante des paramètres IP automatiques ou manuels. Ce paramètre vous permet de configurer le DNS préféré et les autres serveurs DNS. Si les adresses de ces serveurs sont présentes dans la liste des serveurs DoH connus, la liste déroulante de chiffrement DNS préférée est activée. Vous pouvez choisir entre les paramètres suivants pour définir le chiffrement DNS préféré :

    • Chiffré uniquement (DNS sur HTTPS). Lorsque ce paramètre est choisi, tout le trafic de requête DNS passe sur HTTPS. Ce paramètre fournit la meilleure protection pour le trafic de requête DNS. Toutefois, cela signifie également que la résolution DNS ne se produit pas si le serveur DNS cible ne peut pas prendre en charge les requêtes DoH.

    • Chiffrement par défaut, non chiffré autorisé. Lorsque ce paramètre est choisi, le client DNS tente d’utiliser DoH, puis revient aux requêtes DNS non chiffrées si cela n’est pas possible. Ce paramètre fournit la meilleure compatibilité pour les serveurs DNS compatibles DoH, mais vous ne serez pas fourni avec une notification si les requêtes DNS sont passées du DoH au texte brut.

    • Non chiffré uniquement. Tout le trafic de requête DNS vers le serveur DNS spécifié n’est pas chiffré. Ce paramètre configure le client DNS pour utiliser des requêtes DNS de texte brut traditionnelles.

      screen shot of dns settings

  6. Sélectionnez Enregistrer pour appliquer les paramètres DoH au client DNS.

Si vous configurez l’adresse du serveur DNS pour un client à l’aide de PowerShell à l’aide de l’applet Set-DNSClientServerAddress de commande, le paramètre DoH dépend du paramètre de secours du serveur dans la liste des serveurs DoH connus. À l’heure actuelle, vous ne pouvez pas configurer les paramètres DoH pour le client DNS sur Windows Server 2022 à l’aide de Windows Admin Center ou de sconfig.cmd.

Configuration du DoH via stratégie de groupe

Windows Les paramètres de stratégie de groupe locaux et de domaine server 2022 incluent la stratégie de résolution de noms Dns sur HTTPS (DoH). Vous pouvez l’utiliser pour configurer le client DNS pour utiliser DoH. Cette stratégie se trouve dans le Computer Configuration\Policies\Administrative Templates\Network\DNS Client nœud. Quand elle est activée, cette stratégie peut être configurée avec les paramètres suivants :

  • Autoriser DoH. Les requêtes seront effectuées à l’aide de DoH si les serveurs DNS spécifiés prennent en charge le protocole. Si les serveurs ne prennent pas en charge DoH, les requêtes non chiffrées sont émises.

  • Interdire doH. Empêchera l’utilisation de DoH avec des requêtes clientES DNS.

  • Exiger DoH. Nécessite que les requêtes soient effectuées à l’aide de DoH. Si les serveurs DNS configurés ne prennent pas en charge Le DoH, la résolution de noms échoue.

    screenshot of dns configuration

N’activez pas l’option Require DoH pour les ordinateurs joints à un domaine car services de domaine Active Directory dépend fortement du DNS, car le service serveur DNS de serveur Windows ne prend pas en charge les requêtes DoH. Si vous avez besoin que le trafic de requête DNS sur services de domaine Active Directory réseau soit chiffré, envisagez d’implémenter des règles de sécurité de connexion basées sur IPsec pour protéger ce trafic. Pour plus d’informations, consultez Sécurisation des connexions IPsec de bout en bout à l’aide de IKEv2 .

Déterminer les serveurs DoH figurant dans la liste des serveurs connus

Windows Serveur est fourni avec une liste de serveurs connus pour prendre en charge DoH. Vous pouvez déterminer quels serveurs DNS se trouvent dans cette liste à l’aide de l’applet Get-DNSClientDohServerAddress de commande PowerShell.

screenshot of powershell command

La liste par défaut des serveurs DoH connus est la suivante :

Propriétaire du serveur Adresses IP du serveur DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Ajouter un nouveau serveur DoH à la liste des serveurs connus

Vous pouvez ajouter de nouveaux serveurs DoH à la liste des serveurs connus à l’aide de l’applet Add-DnsClientDohServerAddress de commande PowerShell. Spécifiez l’URL du modèle DoH et indiquez si vous autoriserez le client à revenir à une requête non chiffrée si la requête sécurisée échoue. Syntaxe de la commande :

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Utiliser la table de stratégie de résolution de noms avec DoH

Vous pouvez utiliser la table de stratégie de résolution de noms (NRPT) pour configurer des requêtes sur un espace de noms DNS spécifique pour utiliser un serveur DNS spécifique. Si le serveur DNS est connu pour prendre en charge DoH, les requêtes liées à ce domaine seront effectuées à l’aide de DoH plutôt que d’une manière non chiffrée.