Udostępnij za pośrednictwem


Zabezpieczanie klienta DNS za pośrednictwem protokołu HTTPS (DoH)

Począwszy od systemu Windows Server 2022, klient DNS obsługuje system DNS over-HTTPS (DoH). Po włączeniu funkcji DoH zapytania DNS między klientem DNS systemu Windows Server a serwerem DNS przechodzą przez bezpieczne połączenie HTTPS, a nie w postaci zwykłego tekstu. Przekazując zapytanie DNS przez zaszyfrowane połączenie, jest ono chronione przed przechwyceniem przez niezaufane osoby trzecie.

Konfigurowanie klienta DNS do obsługi platformy DoH

Klienta systemu Windows Server można skonfigurować tylko do używania serwera DoH, jeśli podstawowy lub pomocniczy serwer DNS wybrany dla interfejsu sieciowego znajduje się na liście znanych serwerów DoH. Można skonfigurować klienta DNS tak, aby wymagał użycia DoH, zażądał użycia DoH lub używał tylko tradycyjnych zapytań DNS przesyłanych w postaci zwykłego tekstu. Aby skonfigurować klienta DNS do obsługi platformy DoH w systemie Windows Server z funkcją Środowisko pulpitu, wykonaj następujące kroki:

  1. W panelu sterowania Ustawienia systemu Windows wybierz pozycję Sieć i Internet.

  2. On the Network & Internet page, select Ethernet.

  3. Na ekranie Ethernet wybierz interfejs sieciowy, który chcesz skonfigurować dla usługi DoH.

    zrzut ekranu przedstawiający ustawienia sieci Ethernet

  4. On the Network screen, scroll down to DNS settings and select the Edit button.

  5. Na ekranie Edytowanie ustawień DNS wybierz opcję Ręcznie z listy rozwijanej ustawień IP: automatycznych lub ręcznych. To ustawienie umożliwia skonfigurowanie preferowanych serwerów DNS i alternatywnych serwerów DNS. Jeśli adresy tych serwerów znajdują się na liście znanych serwerów DoH, zostanie włączona lista rozwijana Preferowane szyfrowanie DNS . Możesz wybrać między następującymi ustawieniami, aby ustawić preferowane szyfrowanie DNS:

    • Tylko zaszyfrowany (DNS za pośrednictwem protokołu HTTPS). Po wybraniu tego ustawienia cały ruch zapytań DNS będzie przekazywany przez protokół HTTPS. To ustawienie zapewnia najlepszą ochronę ruchu zapytań DNS. Jednak oznacza to również, że rozpoznawanie nazw DNS nie będzie miało miejsca, jeśli celowy serwer DNS nie może obsługiwać zapytań DoH.

    • Zaszyfrowane preferowane, niezaszyfrowane dozwolone. Po wybraniu tego ustawienia klient DNS podejmie próbę użycia usługi DoH, a następnie powróci do niezaszyfrowanych zapytań DNS, jeśli nie jest to możliwe. To ustawienie zapewnia najlepszą zgodność serwerów DNS z obsługą platformy DoH, ale nie otrzymasz żadnego powiadomienia, jeśli zapytania DNS zostaną przełączone z usługi DoH na zwykły tekst.

    • Unencrypted only. Cały ruch zapytań DNS do określonego serwera DNS jest niezaszyfrowany. To ustawienie umożliwia skonfigurowanie klienta DNS do używania tradycyjnych zapytań DNS w postaci zwykłego tekstu.

      zrzut ekranu przedstawiający ustawienia dns

  6. Select Save to apply the DoH settings to the DNS client.

Jeśli konfigurujesz adres serwera DNS dla klienta w programie PowerShell za pomocą polecenia Set-DNSClientServerAddress cmdlet, ustawienie DoH będzie zależeć od tego, czy ustawienie rezerwowe serwera znajduje się w tabeli znanych serwerów DoH. At present you can't configure DoH settings for the DNS client on Windows Server 2022 using Windows Admin Center or sconfig.cmd.

Konfigurowanie platformy DoH za pomocą zasad grupy

Ustawienia zasad grupy lokalnych i domenowych systemu Windows Server 2022 obejmują zasady dotyczące konfigurowania rozwiązywania nazw DNS za pośrednictwem protokołu HTTPS (DoH). Można go użyć do skonfigurowania klienta DNS do korzystania z usługi DoH. Te zasady znajdują się w węźle Computer Configuration\Policies\Administrative Templates\Network\DNS Client . Po włączeniu tej zasady można skonfigurować za pomocą następujących ustawień:

  • Allow DoH. Zapytania będą wykonywane przy użyciu platformy DoH, jeśli określone serwery DNS obsługują protokół. Jeśli serwery nie obsługują wsparcia DoH, zostaną wysłane zapytania nieszyfrowane.

  • Prohibit DoH. Zapobiegnie używaniu protokołu DoH przy zapytaniach klienta DNS.

  • Require DoH. Będzie wymagać, aby zapytania były wykonywane przy użyciu DoH. Jeśli skonfigurowane serwery DNS nie obsługują systemu DoH, rozpoznawanie nazw zakończy się niepowodzeniem.

    zrzut ekranu przedstawiający konfigurację dns.

Nie włączaj opcji Wymagaj doH dla komputerów przyłączonych do domeny, ponieważ usługi Active Directory Domain Services są w dużym stopniu uzależnione od systemu DNS, ponieważ usługa DNS Server systemu Windows Server nie obsługuje zapytań DoH. Jeśli chcesz, aby ruch zapytań DNS w sieci usług Domenowych Active Directory był szyfrowany, rozważ zaimplementowanie reguł zabezpieczeń połączeń opartych na protokole IPsec w celu ochrony tego ruchu. Aby uzyskać więcej informacji, zobacz Zabezpieczanie pełnych połączeń IPsec przy użyciu protokołu IKEv2 .

Określanie, które serwery DoH znajdują się na znanej liście serwerów

System Windows Server jest dostarczany z listą serwerów, które są znane z obsługi DoH. Aby określić, które serwery DNS znajdują się na tej liście, można użyć Get-DNSClientDohServerAddress polecenia cmdlet programu PowerShell.

zrzut ekranu przedstawiający polecenie programu PowerShell

Domyślna lista znanych serwerów DoH jest następująca:

Server Owner Adresy IP serwera DNS
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Quad 9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::fe:9

Dodawanie nowego serwera DoH do listy znanych serwerów

Nowe serwery DoH można dodać do listy znanych serwerów przy użyciu Add-DnsClientDohServerAddress polecenia cmdlet programu PowerShell. Określ adres URL szablonu Usługi DoH i określ, czy zezwolisz klientowi na powrót do niezaszyfrowanego zapytania, jeśli bezpieczne zapytanie nie powiedzie się. Składnia tego polecenia to:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Użyj tabeli zasad rozpoznawania nazw z DoH

Możesz użyć tabeli zasad rozpoznawania nazw (NRPT), aby skonfigurować zapytania do określonej przestrzeni nazw DNS do korzystania z określonego serwera DNS. Jeśli serwer DNS jest znany z obsługi platformy DoH, zapytania związane z tej domeny będą wykonywane przy użyciu platformy DoH, a nie w sposób niezaszyfrowany.