Как настроить и использовать DNS-Over-HTTPS (DoH) в Windows 11

Windows 11 поставляется с долгожданной функцией конфиденциальности под названием DNS-over-HTTPS (A.K.A DoH). При правильной настройке, это прекрасный способ шифрования ваших коммуникаций без необходимости использования сложных решений сторонних производителей.

Что такое DNS через HTTPS?

DNS через HTTPS (DOH) — это более новый субпротокол, который может использоваться при выполнении удаленных разрешений системы доменных имен (DNS) через протокол HTTPS.

Цель этой вспомогательной функции конфиденциальности заключается в повышении безопасности пользователей Windows 11 путем предотвращения любого вида подслушивания или манипулирования данными DNS с помощью протокола HTTPS шифровать данные между клиентом DoH и DNS-резольвером на основе DoH. 

Это новое решение безопасности, внедренное Microsoft, непосредственно направлено на ограничение недавнего всплеска атак типа «человек посередине», от которых пострадали компании по всему миру.

После включения DNS Over HTTPS обмен данными в Интернете будет проходить через зашифрованный сервер, который ограничит доступ между вами и DNS-резольвером.

Какое решение DOH следует использовать?

Существует множество решений DOH, совместимых с Windows 11, но наш совет — придерживаться авторитетного поставщика. Вот 3 больших имени, которые занимают наибольшую долю рынка:

IPv4

• Google – 8.8.8.8 и 8.8.4.4
• Cloudflare– 1.1.1.1 и 1.0.0.1
• Quad9 – 9.9.9.9 и 149.112.112.112

IPv6

• Google – 2001:4860:4860::8888 и 2001:4860:4860::8844
• Cloudflare – 2606:4700:4700::1111 и 2606:4700:4700::1001
• Quad9 – 2620:fe::fe и 2620:fe::fe:9

Имейте в виду, что обмен данными должен пройти через сервер DoH, прежде чем они будут зашифрованы. В связи с этим очень важно выбрать провайдера DoH, которому вы действительно доверяете.

Примечание: Если вы являетесь IT-администратором, у вас также есть возможность создать свой собственный сервер DoH, выполнив следующие команды в программе netsh или Powershell:

Netsh (с доступом администратора)
netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no

Powershell (с доступом администратора)
Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

Примечание: Помните, что [resolver-IP-address] и [resolver-DoH-template] это просто условные обозначения, которые вам’ нужно будет заменить на фактические значения в вашем случае.

Как включить DoH для IPv4 или IPv6 в Windows 11

Благодаря встроенной интеграции DoH, доступной в Windows 11, включение этой расширенной функции конфиденциальности является вопросом доступа к Сеть & Настройки Интернета экран.

Чтобы облегчить вам задачу, мы’ проведем вас через весь процесс.

На самом деле есть два различных способа, которыми можно воспользоваться для включения DNS через HTTPS в Windows 11:

• Вы можете включить DNS через HTTPS из раздела Сеть & вкладка Интернет в приложении Настройки
• Вы можете включите DNS через HTTPS путем создания групповой политики 

Если вы не настолько технически подкованы, вам лучше придерживаться следующей схемы Settings приложение.

Включение DoH через приложение «Настройки» на Windows 11

Важно: Для изменения адреса DNS-сервера и включения DoH на компьютере с Windows 11 вы должны быть подписаны учетной записью администратора.

1. Нажмите Клавиша Windows + I ключ, чтобы открыть Настройки меню.
2. Из главного Настройки меню, используйте вертикальное меню слева, чтобы щелкнуть или нажать на Сеть & Интернет. 
3. Далее перейдите к меню справа и нажмите на кнопку Свойства ящику, связанному с сетью, к которой вы’активно подключены.
   

   

4. Внутри выделенного Свойства меню, нажмите на кнопку Редактировать меню непосредственно под назначение DNS-сервера с правой стороны.
   

   

   Примечание: Если вы получите сообщение “Настройки DNS для всех сетей Wi-Fi установлены. Приведенные ниже настройки’ не будут сохранены.” сообщение при нажатии на Изменить, нажмите на Изменение настроек DNS для всех сетей Wi-Fi. 

5. В появившейся подсказке выберите Вручную из выпадающего меню.
6. Далее следуйте одному из следующих подруководств в зависимости от того, хотите ли вы включить DoH для IPv4, IPV6, или оба. Если вы хотите включить DoH для обоих протоколов, выполните оба приведенных ниже руководства.

Включение DNS через HTTPS (DOH) для IPv4

1. Включите переключатель IPv4 из только что появившейся подсказки.
   

   

2. Далее, введите Предпочитаемый DNS нужный вам из приведенных ниже безопасных вариантов:

   CloudFlare - 1.1.1.1
   Google - 8.8.8.8
   Quad9 - 9.9.9.9

   Примечание: Если вы хотите использовать другое решение DOH или вы’ создали сервер DOH самостоятельно, вставьте пользовательскую строку Предпочитаемый DNS адрес.

3. Далее введите альтернативный вариант DNS внутри правильное поле. Убедитесь, что вы продолжаете использовать те же параметры, которые выбрали на шаге 2:

   CloudFlare - 1.0.0.1
   Google - 8.8.4.4
   Quad9 - 149.112.112.112

4. После того, как вы убедились, что ввели правильные значения, выберите Только зашифрованный (DNS через HTTPS) из Альтернативный DNS меню (под IPv4).
   

   

   Примечание: Имейте в виду, что если у вас нет Предпочтительное шифрование DNS опция доступна, вам’нужно выбрать Только в зашифрованном виде (DNS через HTTPS). Но прежде чем вы сможете это сделать, вам’нужно изменить IPv4 DNS-адрес для этого подключенного сетевого адаптера и повторить инструкции сверху.

Включите DNS через HTTPS (DOH) для IPv6

1. Включите тумблер с именем IPv6 в активном окне.
   

   

2. Внутри появившегося окна введите Предпочитаемый DNS вы хотите, выбрав один из популярных вариантов ниже или вставив свое собственное значение, если вы’ используете другого провайдера DoH или вы’ настроили свой собственный сервер DoH:

   CloudFlare - 2606:4700:4700::1111
   Google - 2001:4860:4860::8888
   Quad9 - 2620:fe::fe

3. После того, как вы’закончите с Предпочтительный DNS, перейдите к  Альтернативный DNS внутри и вставьте соответствующее значение из приведенного ниже списка:

   CloudFlare - 2606:4700:4700::1001
   Google - 2001:4860:4860::8844
   Quad9 - 2620:fe::fe:9

4. После того, как вы убедились, что ввели правильные значения, выберите Только зашифрованный (DNS через HTTPS) из Альтернативное шифрование DNS меню (в разделе IPv6).
   

   

   Примечание: Если у вас нет Предпочтительное шифрование DNS опция доступна, вам’нужно выбрать Только зашифрованный (DNS через HTTPS). Но прежде чем вы сможете это сделать, вам’ нужно изменить IPv4 DNS адрес для этого подключенного сетевого адаптера и повторить инструкции сверху.

Включение DoH через редактор групповой политики в Windows 11

Важно: Сайт групповая политика недоступно в Домашней версии Windows 11. Следуйте приведенным ниже инструкциям, только если у вас Windows 11 PRO, Windows 11 Enterprise или Windows 11 Education.

1. Нажмите клавиша Windows + R чтобы открыть Запустить диалоговое окно. Далее, введите ‘gpedit.msc’ внутри текстового поля, затем нажмите Enter чтобы открыть утилиту редактора групповой политики в Windows 11.
   

   

2. Если вам будет предложено Контроль учетных записей пользователей, нажмите Да чтобы предоставить себе администраторский доступ.
3. Внутри Редактор групповой политики, используйте меню слева для перехода к следующему местоположению:

   Конфигурация компьютера > Административные шаблоны > Сеть > DNS клиент

4. Как только вы попадете на нужный путь, перейдите к меню справа, затем дважды щелкните по пункту Настройка разрешения имен DNS через HTTPS (DoH) политика.
   

   

5. Внутри выделенного окна политики установите статус политики на Включить, затем нажмите на Применить для сохранения изменений.
6. После включения функции DoH найдите DNS-серверы политику из той же правой панели и установите следующие параметры IP-адрес в зависимости от провайдера, которого вы хотите использовать.