Cliente DNS Seguro sobre HTTPS (DoH)

A partir do Windows Server 2022, o cliente DNS dá suporte a DoH (DNS sobre HTTPS). Quando o DoH está habilitado, as consultas DNS entre o cliente DNS do Windows Server e o servidor DNS passam por uma conexão HTTPS segura em vez de texto sem formatação. Ao passar a consulta DNS por uma conexão criptografada, ela é protegida contra interceptação por terceiros não confiáveis.

Configurar o cliente DNS para dar suporte ao DoH

Você só poderá configurar o cliente Windows Server para usar o DoH se o servidor DNS primário ou secundário selecionado para o adaptador de rede estiver na lista de servidores DoH conhecidos. Você pode configurar o cliente DNS para exigir DoH, solicitar DoH ou usar apenas consultas DNS tradicionais de texto simples. Para configurar o cliente DNS para dar suporte ao DoH no Windows Server com Experiência Desktop, execute as seguintes etapas:

1. No painel de controle Configurações do Windows, selecione Rede e Internet.

2. Na página Rede e Internet, selecione Ethernet.

3. Na tela Ethernet, selecione a interface de rede que você deseja configurar para DoH.

   

4. Na tela Rede, role para baixo até Configurações de DNS e selecione o botão Editar .

5. Na tela Editar configurações de DNS, selecione Manual no menu suspenso de configurações de IP automático ou manual. Essa configuração permite que você configure os servidores DNS preferenciais e DNS alternativos. Se os endereços desses servidores estiverem presentes na lista de servidores DoH conhecidos, o menu suspenso Criptografia DNS preferencial será habilitado. Você pode escolher entre as seguintes configurações para definir a criptografia DNS preferida:

   • Somente criptografado (DNS sobre HTTPS). Quando essa configuração for escolhida, todo o tráfego de consulta DNS passará por HTTPS. Essa configuração fornece a melhor proteção para o tráfego de consulta DNS. No entanto, isso também significa que a resolução de DNS não ocorrerá se o servidor DNS de destino não puder dar suporte a consultas DoH.

   • Criptografado preferencial, não criptografado permitido. Quando essa configuração for escolhida, o cliente DNS tentará usar o DoH e, em seguida, retornará para consultas DNS não criptografadas, se isso não for possível. Essa configuração fornece a melhor compatibilidade para servidores DNS compatíveis com DoH, mas você não receberá nenhuma notificação se as consultas DNS forem alternadas de DoH para texto sem formatação.

   • Somente não criptografado. Todo o tráfego de consulta DNS para o servidor DNS especificado não é criptografado. Essa configuração configura o cliente DNS para usar consultas DNS de texto sem formatação tradicionais.

     

6. Selecione Salvar para aplicar as configurações de DoH ao cliente DNS.

Se você estiver configurando o endereço do servidor DNS para um cliente usando o PowerShell usando o Set-DNSClientServerAddress cmdlet, a configuração DoH dependerá se a configuração de fallback do servidor está na tabela lista de servidores DoH conhecidos. No momento, você não pode definir as configurações de DoH para o cliente DNS no Windows Server 2022 usando Windows Admin Center ou sconfig.cmd.

Configurando o DoH por meio da Diretiva de Grupo

As configurações de Política de Grupo local e de domínio do Windows Server 2022 incluem a política de resolução de nomes Configurar DNS sobre HTTPS (DoH). Você pode usá-lo para configurar o cliente DNS para usar o DoH. Essa política é encontrada no Computer Configuration\Policies\Administrative Templates\Network\DNS Client nó. Quando habilitada, essa política pode ser configurada com as seguintes configurações:

• Permitir DoH. As consultas serão executadas usando o DoH se os servidores DNS especificados suportarem o protocolo. Se os servidores não suportarem DoH, consultas não criptografadas serão emitidas.

• Proibir DoH. Impedirá o uso de DoH com consultas de cliente DNS.

• Exigir DoH. Exigirá que as consultas sejam executadas usando DoH. Se os servidores DNS configurados não derem suporte ao DoH, a resolução de nomes falhará.

  

Não habilite a opção Exigir DoH para computadores ingressados no domínio, pois os Serviços de Domínio Active Directory dependem muito do DNS porque o serviço Servidor DNS do Windows Server não dá suporte a consultas DoH. Se você precisar que o tráfego de consulta DNS na rede dos Serviços de Domínio Active Directory seja criptografado, considere implementar regras de segurança de conexão baseadas em IPsec para proteger esse tráfego. Consulte Protegendo conexões IPsec de ponta a ponta usando IKEv2 para obter mais informações.

Determinar quais servidores DoH estão na lista de servidores conhecidos

O Windows Server é fornecido com uma lista de servidores que são conhecidos por dar suporte ao DoH. Você pode determinar quais servidores DNS estão nessa lista usando o cmdlet do Get-DNSClientDohServerAddress PowerShell.

A lista padrão de servidores DoH conhecidos é a seguinte:

Proprietário do servidor	Endereços IP do servidor DNS
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quadra 9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Adicionar um novo servidor DoH à lista de servidores conhecidos

Você pode adicionar novos servidores DoH à lista de servidores conhecidos usando o cmdlet do Add-DnsClientDohServerAddress PowerShell. Especifique a URL do modelo DoH e se você permitirá que o cliente retorne a uma consulta não criptografada caso a consulta segura falhe. A sintaxe deste comando é:

Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True

Usar tabela de políticas de resolução de nomes com DoH

Você pode usar a NRPT (Tabela de Políticas de Resolução de Nomes) para configurar consultas a um namespace DNS específico para usar um servidor DNS específico. Se o servidor DNS for conhecido por oferecer suporte ao DoH, as consultas relacionadas a esse domínio serão executadas usando o DoH em vez de não criptografado.