Шифрование DNS-запросов не позволяет третьим лицам, таким как интернет-провайдеры, сетевые администраторы или правительства, отслеживать, какие веб-сайты вы посещаете. Windows 11 включает функцию DNS over HTTPS (DoH), которая направляет DNS-запросы через зашифрованные HTTPS-соединения, а не отправляет их в виде обычного текста. Это обновление делает DNS-трафик приватным во всех приложениях, а не только в веб-браузерах, а также может помочь обойти некоторые типы сетевых цензурных и спуфинговых атак.
Включить DNS через HTTPS через настройки Windows 11
Шаг 1: Нажмите Windows+i, чтобы открыть приложение «Параметры», или щелкните правой кнопкой мыши кнопку «Пуск» и выберите Settings«Выбрать» Network & Internetна боковой панели.
Шаг 2: Щелкните свое активное интернет-подключение — Wi-Fiили Ethernet—из списка. Обязательно щелкните имя подключения, а не ярлык «Свойства» вверху.
Шаг 3: На странице свойств подключения выберите Hardware Properties.
Шаг 4: Найдите DNS Server Assignmentи нажмите Editкнопку рядом с ним.
Шаг 5: В появившемся диалоговом окне установите параметры DNS на Manual. Включите IPv4переключатель.
Шаг 6: Введите поддерживаемый адрес DNS-сервера в Preferred DNSполе и альтернативный в Alternate DNSполе. Например, вы можете использовать:
- Google DNS:
8.8.8.8и8.8.4.4. - Cloudflare DNS:
1.1.1.1и1.0.0.1. - Quad9 DNS:
9.9.9.9и149.112.112.112.
Для IPv6 переключите IPv6переключатель и введите соответствующие адреса, если ваша сеть поддерживает IPv6.
Шаг 7: Установите. Это гарантирует, DNS Over HTTPSчто OnWindows использует только зашифрованный DNS для поиска. Щелкните Save, чтобы применить изменения.
Шаг 8: Убедитесь, что ваши DNS-серверы теперь помечены как (Encrypted)в свойствах подключения. Все DNS-запросы из Windows и большинства приложений теперь будут зашифрованы.
Если у вас возникли проблемы с подключением, дважды проверьте IP-адреса на наличие опечаток. Если ваша система или сеть не поддерживает IPv6, отключение IPv6 DNS в этом диалоговом окне может решить проблемы.
Добавление пользовательских серверов DoH с помощью PowerShell
Windows 11 по умолчанию включает DoH только для предопределенного списка поставщиков DNS. Если вы хотите использовать пользовательский DNS-сервер, поддерживающий DoH, вам сначала нужно будет зарегистрировать его.
Шаг 1: Откройте PowerShell как администратор. Нажмите меню «Пуск», введите powershell, щелкните правой кнопкой мыши Windows PowerShell и выберите Run as administrator.
Шаг 2: Используйте следующую команду для добавления вашего собственного сервера DoH:
Add-DnsClientDohServerAddress -ServerAddress 'IP_ADDRESS' -DohTemplate 'https://your-doh-server/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True
Замените IP_ADDRESSи https://your-doh-server/dns-queryна информацию вашего DNS-провайдера. После этого сервер появится в списке DNS-серверов, и вы сможете выбрать его в сетевых настройках, как описано выше.
Чтобы подтвердить список серверов с поддержкой DoH, выполните:
Get-DnsClientDohServerAddress
Теперь вы можете повторить шаги из предыдущего раздела, чтобы назначить свой собственный DoH-сервер в настройках сетевого подключения.
Настройка DNS через HTTPS с помощью групповой политики
В управляемых системах или при блокировке определенных параметров параметр DoH может быть неактивен с сообщением типа «Некоторые из этих параметров отключены или управляются вашей организацией». Обычно это контролируется групповой политикой.
Шаг 1: Откройте редактор групповой политики, нажав Windows+R, введя gpedit.msc, и нажав Enter.
Шаг 2: Перейдите к Computer Configuration > Administrative Templates > Network > DNS Client.
Шаг 3: Найдите политику с именем Configure DNS over HTTPS (DoH) name resolution. Дважды щелкните по ней.
Шаг 4: Установите политику на Enabled, затем выберите предпочитаемый режим:
Unencrypted only: Отключает DoH.Encrypted preferred, unencrypted allowed: Сначала пробует DoH, возвращается к стандартному DNS, если он недоступен.Encrypted only (DNS over HTTPS): Требуется DoH для всех DNS-поисков.
Шаг 5: Нажмите Applyи OK. Перезагрузите компьютер, чтобы изменения вступили в силу.
Если политика DoH продолжает возвращаться к «Запретить DoH», стороннее приложение (например, VPN-клиент) может принудительно применять эту настройку. Некоторые VPN-агенты (например, Cisco AnyConnect) автоматически устанавливают значение реестра DoHPolicyпри 1запуске, что блокирует DoH. Остановка или удаление мешающего программного обеспечения или ручное удаление значения реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DoHPolicyпосле каждой перезагрузки может временно решить эту проблему. Однако политика вернется, если программное обеспечение все еще присутствует.
Настройки и ограничения DNS через HTTPS браузера
Некоторые браузеры, такие как Chrome, Edge и Firefox, имеют собственные настройки DoH, которые могут переопределять или игнорировать системную конфигурацию DNS Windows. Например, Chrome может по умолчанию использовать Google DNS или свой собственный DNS-резолвер, даже если Windows настроена на использование другого поставщика DoH. Чтобы браузеры соблюдали системные настройки DoH:
- Отключите внутреннюю функцию безопасного DNS браузера или установите для нее значение «Использовать системный DNS».
- В Chrome вы можете посетить
chrome://flags/#enable-async-dnsи отключить асинхронный DNS-резолвер, чтобы заставить Chrome использовать настройки DNS Windows. - Для Firefox установите network.trr.mode на 5,
about:configчтобы использовать системный резолвер, или настройте DoH непосредственно в Firefox, если вы предпочитаете управление на уровне браузера.
Примечание: Некоторые приложения могут по-прежнему обходить системные настройки DNS и использовать собственные методы разрешения. Для большинства стандартных приложений Windows включение DoH на уровне ОС будет шифровать трафик DNS, как и предполагалось.
Шифрование DNS-запросов в Windows 11 усиливает конфиденциальность и может помочь обойти цензуру или мониторинг интернет-провайдера. Следите за групповыми политиками и сторонним программным обеспечением, которые могут переопределять ваши настройки, и проверяйте конфигурации браузера для обеспечения единообразной конфиденциальности во всех ваших приложениях.
