Condividi tramite


Proteggere il client DNS tramite HTTPS (DoH)

A partire da Windows Server 2022, il client DNS supporta DNS-over-HTTPS (DoH). Quando DoH è abilitato, le query DNS tra il client DNS di Windows Server e il server DNS passano attraverso una connessione HTTPS sicura anziché in testo normale. Passando la query DNS attraverso una connessione crittografata, è protetta dall'intercettazione da terze parti non attendibili.

Configurare il client DNS per supportare DoH

È possibile configurare il client Windows Server per l'uso di DoH solo se il server DNS primario o secondario selezionato per l'interfaccia di rete è presente nell'elenco dei server DoH noti. È possibile configurare il client DNS per richiedere l'uso obbligatorio di DoH, richiedere DoH, o usare solo query DNS tradizionali in testo semplice. Per configurare il client DNS per supportare DoH in Windows Server con Esperienza desktop, seguire questa procedura:

  1. Nel pannello di controllo Impostazioni di Windows selezionare Rete e Internet.

  2. Nella pagina Rete e Internet selezionare Ethernet.

  3. Nella schermata Ethernet selezionare l'interfaccia di rete che si vuole configurare per DoH.

    screenshot delle impostazioni Ethernet

  4. Nella schermata Rete scorrere verso il basso fino alle impostazioni DNS e selezionare il pulsante Modifica .

  5. Nella schermata Modifica impostazioni DNS selezionare Manuale nell'elenco a discesa Impostazioni IP automatiche o manuali. Questa impostazione consente di configurare i server DNS preferiti e DNS alternativi. Se gli indirizzi di questi server sono presenti nell'elenco dei server DoH noti, l'elenco a discesa Crittografia DNS preferita verrà abilitato. È possibile scegliere tra le impostazioni seguenti per impostare la crittografia DNS preferita:

    • Solo crittografato (DNS su HTTPS).Encrypted only (DNS over HTTPS). Quando si seleziona questa impostazione, tutto il traffico di query DNS passerà attraverso HTTPS. Questa impostazione offre la protezione migliore per il traffico di query DNS. Tuttavia, significa anche che la risoluzione DNS non si verificherà se il server DNS di destinazione non è in grado di supportare le query DoH.

    • Crittografato preferito, non crittografato consentito. Quando si seleziona questa impostazione, il client DNS tenterà di usare DoH e quindi eseguirà il fallback alle query DNS non crittografate, se non è possibile. Questa impostazione offre la migliore compatibilità per i server DNS con supporto DoH, ma non verrà fornita alcuna notifica se le query DNS vengono spostate da DoH a testo normale.

    • Solo non crittografato. Tutto il traffico di query DNS verso il server DNS specificato non è crittografato. Questa impostazione configura il client DNS per l'uso di query DNS di testo normale tradizionali.

      screenshot delle impostazioni DNS

  6. Selezionare Salva per applicare le impostazioni DoH al client DNS.

Se si configura l'indirizzo del server DNS per un client tramite PowerShell tramite il Set-DNSClientServerAddress cmdlet , l'impostazione DoH dipenderà dal fatto che l'impostazione di fallback del server si trovi nell'elenco della tabella dei server DoH noti. Attualmente non è possibile configurare le impostazioni DoH per il client DNS in Windows Server 2022 tramite Windows Admin Center o sconfig.cmd.

Configurazione di DoH tramite Criteri di gruppo

Le impostazioni di Criteri di gruppo locali e di dominio di Windows Server 2022 includono la politica Configura risoluzione dei nomi DNS su HTTPS (DoH). È possibile usarlo per configurare il client DNS per l'uso di DoH. Questo criterio si trova nel Computer Configuration\Policies\Administrative Templates\Network\DNS Client nodo. Se abilitata, questo criterio può essere configurato con le impostazioni seguenti:

  • Consenti DoH. Le query verranno eseguite usando DoH se i server DNS specificati supportano il protocollo. Se i server non supportano DoH, verranno eseguite query non crittografate.

  • Proibire DoH. Impedisce l'utilizzo di DoH nelle query del client DNS.

  • Richiedi DoH. Sarà necessario che le query vengano eseguite usando DoH. Se i server DNS configurati non supportano DoH, la risoluzione dei nomi avrà esito negativo.

    screenshot della configurazione dns.

Non abilitare l'opzione Richiedi doH per i computer aggiunti a un dominio perché Active Directory Domain Services è fortemente dipendente dal DNS perché il servizio Server DNS di Windows Server non supporta le query DoH. Se è necessario che il traffico di query DNS nella rete di Servizi di dominio Active Directory sia crittografato, prendere in considerazione l'implementazione delle regole di sicurezza delle connessioni basate su IPsec per proteggere il traffico. Per altre informazioni, vedere Protezione delle connessioni IPsec end-to-end tramite IKEv2 .

Determinare quali server DoH si trovano nell'elenco dei server noti

Windows Server viene fornito con un elenco di server noti per supportare DoH. È possibile determinare quali server DNS si trovano in questo elenco usando il Get-DNSClientDohServerAddress cmdlet di PowerShell.

screenshot del comando di PowerShell

L'elenco predefinito dei server DoH noti è il seguente:

Proprietario del server Indirizzi IP del server DNS
Nuvola 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Aggiungere un nuovo server DoH all'elenco di server noti

È possibile aggiungere nuovi server DoH all'elenco di server noti usando il Add-DnsClientDohServerAddress cmdlet di PowerShell. Specificare l'URL del modello DoH e se consentire al client di eseguire il fallback a una query non crittografata in caso di esito negativo della query protetta. La sintassi di questo comando è:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Utilizzare la tabella delle politiche di risoluzione dei nomi con DoH

È possibile usare la tabella dei criteri di risoluzione dei nomi (NRPT) per configurare le query in uno spazio dei nomi DNS specifico per l'uso di un server DNS specifico. Se il server DNS è noto per supportare DoH, le query correlate a tale dominio verranno eseguite usando DoH anziché in modo non crittografato.