Resumo:

A Microsoft introduziu suporte para DNS sobre TLS (DOT) na pré -visualização do Windows 11 no canal de dev. O DOT é um protocolo DNS criptografado alternativo que corre diretamente sobre um túnel TLS sem uma camada HTTP, tornando -o mais rápido que o DNS sobre HTTPS (DOH). Este artigo explica a diferença entre o DOT e o DOH, como implementar o DOT no Windows 11, configurar o servidor DNS e ativar o DOT usando comandos netsh. O autor conclui afirmando que a escolha entre DOH e DOT depende de requisitos específicos, como isolar o tráfego do DNS ou preferir a comunicação através da porta HTTPS padrão.

1. Qual é a diferença entre ponto e doh?

O DOT envia solicitações DNS através de um túnel TLS, enquanto o DOH estabelece uma conexão HTTP sobre TLS. O DOT usa a porta 853 por padrão, enquanto o DOH normalmente usa a porta 443. O DOH mistura as consultas DNS com outro tráfego HTTPS criptografado, dificultando o monitoramento e o bloqueio de consultas de DNS, enquanto o DOT permite a identificação e a prevenção do tráfego malicioso.

2. Como o DOT é implementado no Windows 11?

Atualmente, a implementação do DOT está disponível na pré -visualização do Windows 11, a partir da construção 25158. No entanto, ele só pode ser configurado através da linha de comando, pois não há configuração de política de grupo disponível ainda.

3. Como o servidor DNS pode ser configurado para ponto?

Para ativar o DOT, o servidor DNS que suporta esse protocolo precisa ser especificado manualmente. Isso pode ser feito através do aplicativo de configurações em rede nas propriedades de uma conexão. O endereço IP do servidor DNS pode ser inserido nas configurações IPv4 ou IPv6.

4. Como o DOT pode ser ativado usando comandos netsh?

Os seguintes comandos NETSH podem ser usados ​​para ativar o DOT:

Netsh DNS Adicionar DOT global = sim

Netsh DNS Add Add Encryption Server = Dothot =: AutoupGrade = Sim

ipconfig /flushdns

Para verificar se o DOT está sendo usado, o comando “Netsh DNS Show Global” pode ser usado, que deve exibir “Configurações de ponto: ativado”. Além disso, o comando “netsh dns show criptografia” pode ser usado para verificar as configurações de ponto do servidor DNS específico.

5. Qual é a conclusão sobre o DOT no Windows 11?

Com o DOT, a Microsoft oferece suporte para um segundo protocolo DNS seguro, além do DOH no Windows 11. A escolha entre DOH e DOT depende de requisitos específicos, como isolar o tráfego DNS ou preferir a comunicação através da porta HTTPS padrão.

6. A Microsoft suportará DOH e DOT no servidor Windows para uso interno?

Atualmente, DOH e DOT são suportados apenas com um punhado de servidores Public DNS. Não se sabe se a Microsoft adicionará suporte para DOH e DOT no servidor Windows para uso interno.

A Microsoft adiciona Windows 10 DNS sobre a seção de configurações HTTPS

Como alternativa, você pode realizar esta tarefa com o PowerShell usando o Set-DNSclientVeraddress .

Ative o DNS sobre o TLS (DOT) no Windows 11

A visualização atual do Insider no canal Dev inclui suporte para DNS sobre TLS (DOT). Este é um protocolo DNS criptografado alternativo ao DNS sobre HTTPS (DOH). Ele corre diretamente sobre um túnel TLS sem uma camada http e, portanto, é mais rápido. A configuração é feita com netsh.

1. DOT contra Doh
2. Implementação de pontos no Windows 11
3. Configure o servidor DNS
4. Ative o ponto
5. Conclusão

Wolfgang Sommergut tem mais de 20 anos de experiência no jornalismo de TI. Ele também trabalhou como administrador do sistema e como consultor de tecnologia. Hoje ele dirige a publicação alemã Windowspro.de.

Postagens mais recentes de Wolfgang Sommergut (veja All)

• Solução de problemas sem rede ou internet na estação de trabalho VMware – qui, 4 de maio 2023
• Resolve -DnsName: nslookup para PowerShell – Seg, 1 de maio de 2023
• Desinstalação de atualizações usando o WSUS – MON, 24 de abril de 2023

Semelhante ao DOH, o DOT destina-se a proteger os usuários de serem vítimas para um servidor DNS manipulado ou um ataque de homem no meio quando as consultas do DNS são transmitidas em texto simples.

Para ambos, no entanto, relativamente poucos servidores DNS suportam esta tecnologia. Na maioria dos casos, eles são fornecidos por provedores públicos, como Google ou CloudFlare.

DOT contra Doh

O DNS Over TLS envia solicitações normais de DNS através de um túnel TLS, enquanto o DNS sobre o HTTPS estabelece uma conexão HTTP sobre TLS. Enquanto isso cria algumas despesas gerais, a comunicação geralmente passa pela porta 443, que está aberta na maioria dos ambientes. DOT, por outro lado, usa a porta 853 por padrão.

Com o DOH, as consultas do DNS são misturadas com outro tráfego HTTP criptografado. Isso tem vantagens de privacidade porque um espionagem de espionagem não pode distinguir consultas DNS de outras solicitações HTTPS.

Mas é também por isso que o DOH torna mais difícil para um administrador de rede monitorar e bloquear consultas DNS. No entanto, com o ponto, o tráfego malicioso pode ser identificado e, portanto, evitado.

Implementação de pontos no Windows 11

No Windows 11, os usuários agora têm a opção de escolher entre os dois protocolos. Enquanto o DOH já está a bordo no Windows 11, a primeira implementação para o DOT está disponível apenas em pré -visualizações de Build 25158 em.

Além disso, o recurso atualmente só pode ser configurado através da linha de comando e, diferentemente do DOH, a Microsoft ainda não oferece uma configuração de política de grupo para isso.

Configure o servidor DNS

Para ativar o DOT, você deve (manualmente) especificar um servidor DNS que suporta este protocolo. Isso pode ser feito através do Configurações aplicativo abaixo Rede nas propriedades de uma conexão, por exemplo, Ethernet ou Wi-fi.

Editar configurações de conexões DNS

Lá, você edita a atribuição do servidor DNS e insere o endereço IP do servidor DOT em IPv4 ou IPv6, conforme necessário.

Digite o servidor DNS para IPv4 manualmente no aplicativo de configurações

Como alternativa, você pode realizar esta tarefa com o PowerShell usando o Set-DNSclientVeraddress .

Ative o ponto

Para a ativação real do DOT, use estes comandos:

Netsh DNS Add Global Dot = Sim Netsh DNS Adicionar servidor de criptografia = Dothost =: AutoupGrade = Sim ipconfig /flushdns

Para ver se o DOT está sendo usado, Invocar Netsh novamente:

Netsh DNS mostra global

A saída deste comando deve conter a linha “Configurações de ponto: ativado”.

Ative o DOT com Netsh e verifique as configurações

Por fim, você pode verificar as configurações de ponto corretas do servidor DNS específico da seguinte maneira:

Netsh DNS Show Criptografia

O servidor DNS configurado manualmente agora usa o DNS sobre o TLS

Verifique se a saída agora contém uma entrada para “host DNS sobre TLS” para o servidor DNS selecionado, o valor para “Atualização automática” é sim, e “UDP Fallback” está definido como não.

Conclusão

Com o DNS sobre o TLS, a Microsoft suporta um segundo protocolo DNS seguro no Windows 11, além do DNS sobre o HTTPS. Qual você escolher depende dos respectivos requisitos. Um fator -chave na decisão é se os administradores querem isolar o tráfego DNS ou se a comunicação através da porta HTTPS padrão é preferida.

Inscreva -se no 4SYSOPS Newsletter!

Atualmente, ambos os protocolos só podem ser usados ​​apenas com um punhado de servidores Public DNS. No entanto, não está claro se a Microsoft apoiará o DOH e o DOT no Windows Server para uso interno.

A Microsoft adiciona Windows 10 DNS sobre a seção de configurações HTTPS

A Microsoft anunciou que os clientes do Windows 10 agora podem configurar o DNS sobre o HTTPS (DOH) diretamente do aplicativo Configurações, começando com o lançamento do Windows 10 Insider Preview Build 20185 para Windows Insiders no canal Dev Channel.

A adição de suporte ao protocolo DOH em um futuro lançamento do Windows 10 foi anunciado pela Microsoft em novembro de 2018, a inclusão de DNS sobre o suporte ao TLS (DOT) também sendo deixado na tabela.

O DOH permite a resolução do DNS sobre as conexões HTTPS criptografadas, enquanto o DOT criptografa consultas DNS através do protocolo de segurança da camada de transporte (TLS), em vez de usar pesquisas de texto simples DNS.

Para aqueles que não estão familiarizados com os novos nomes de canais do Windows 10, a Microsoft revisou o programa Windows Insider e se afastou dos anéis de liberação e para lançar canais em 29 de junho, quando o:

• Anel rápido se tornou o canal de dev
• Anel lento se tornou o canal beta
• Anel de visualização de liberação se tornou o canal de visualização de lançamento.

Insiders do Windows no canal de dev que desejam atualizar para a nova compilação do Windows 10 pode verificar se há novas atualizações da caixa de diálogo Windows Update.

Controles do DOH nas configurações de rede do Windows 10

Conforme compartilhado pelo Programa Windows Insider Manager Brandon LeBlanc, os clientes podem configurar o DNS criptografado usando o aplicativo de configurações começando com o Windows 10 dev canal Build 20185.

Para conexões Ethernet (com fio), os usuários podem acessar os novos controles do pop-up que abrem depois de ir para Configurações> Rede e Internet> Status, clicando em propriedades e, em seguida, selecionando Editar atribuição de IP ou Editar atribuição do servidor DNS.

Usuários com conexões Wi-Fi (sem fio) podem abrir o Pop-up do DOH Controls clicando no link Propriedades do adaptador e depois selecionando Editar atribuição de IP ou Editar atribuição do servidor DNS.

De acordo com a LeBlanc, os controles DNS criptografados ainda não estão disponíveis para as páginas de propriedades de redes individuais.

Para dar uma volta do DOH, você pode adicionar qualquer endereço IP de um servidor DNS habilitado para DOH atualmente suportado e escolher seu método de criptografia DNS preferido para que suas consultas DNS criptografadas automaticamente.

A lista completa de servidores DNS DNS que você pode usar está disponível na tabela incorporada abaixo.

Proprietário do servidor	Endereços IP do servidor
Cloudflare	1.1.1.1 1.0.0.1 2606: 4700: 4700 :: 1111 2606: 4700: 4700 :: 1001
Google	8.8.8.8 8.8.4.4 2001: 4860: 4860 :: 8888 2001: 4860: 4860 :: 8844
Quad9	9.9.9.9 149.112.112.112 2620: Fe :: Fe 2620: Fe :: Fe: 9

“Depois que a criptografia estiver ativada, você pode confirmar’S trabalhando olhando para os servidores DNS aplicados nas propriedades da rede e vê -los rotulados como ‘servidores (criptografados)’ “, explica LeBlanc.

A Microsoft também fornece instruções sobre como usar servidores DOH personalizados adicionando manualmente servidores DNS com suporte a DOH que não estão na lista de promoção automática padrão.

Testando se o DOH está funcionando

Para verificar se suas consultas DNS são realmente criptografadas, você pode usar o utilitário PacketMon Command-Line para verificar o tráfego de rede que vai para a Web sobre a porta 53 (a porta usada para consultas DNS não criptografadas)-Depois que o DOH está ligado, deve haver pouco ou nenhum tráfego.

Para fazer isso, você deve abrir um prompt de comando ou uma janela do PowerShell e, em seguida, executar os seguintes comandos para redefinir os filtros de tráfego de rede da Packetmon, adicionar um filtro de tráfego para a porta 53 e iniciar o registro de tráfego em tempo real:

filtro pktmon remova
filtro pktmon add -p 53
Pktmon Start –etw -l em tempo real

Adoção de outros fornecedores do DOH e planos futuros

A Mozilla lançou o DNS-Over-HTTPS por padrão para todos os usuários do Firefox, baseados nos EUA, começando em 25 de fevereiro de 2020, permitindo que o fornecedor DNS da Cloudflare e permitindo que os usuários mudem para os próximos ou outros provedores personalizados das opções de rede do navegador.

O Google está executando um estudo LIMITED DOH em todas as plataformas (além de Linux e iOS), começando com o lançamento do Chrome 79.

No entanto, ao contrário do Mozilla, o Google não altera automaticamente o provedor DNS, mas, em vez disso, ele atualiza o protocolo de resolução DNS do Chrome somente quando o provedor DNS padrão é habilitado para o DOH.

Os CIOs das agências do governo dos EUA foram aconselhadas em abril a desativar os serviços de DNS criptografados de terceiros até que um Serviço Federal de Resolução Federal Oficial com DNS sobre HTTPS (DOH) e DNS sobre TLS (DOT) Suporte está pronto.

▸ Suporte

Confira nossos guias de configuração e as perguntas frequentes ou use a barra de pesquisa abaixo para encontrar informações relevantes.

Configuração básica do computador pessoal

• Configuração: Ubuntu 20.04 LTS
• Configuração: macOS
• Configuração: Windows 10
• Configuração: Ubuntu 16.04 LTS
• Configuração: Ubuntu 18.04 LTS
• Configure o Quad9 usando nosso arquivo em lote
• Configuração: Windows 8
• Configuração: Chromebook/Chromeos
• Configuração: Linux Mint 20.3 (canela)

Configuração de computador pessoal com criptografia

• DNS sobre HTTPS – Windows 11 (nativo)
• DNS sobre TLS – Ubuntu 18.04/20.04 (Stubby)
• DNS sobre TLS – Ubuntu 20.04 (nativo)
• DNS sobre TLS – Windows 10 (GUI Stubby /W)
• DNScrypt – MacOS (DNScrypt -Proxy)
• DNS sobre TLS – MacOS (Stubby)
• DNSCRYPT – Windows 10 (SimpleDNScrypt)
• DNS sobre HTTPS – Windows 10 (SimpleDNScrypt)

Configuração do dispositivo móvel

• Configuração: Quad9 Connect for Android
• Configuração: Dnscloak para iOS
• Configuração: Android Private DNS com Quad9

Outra configuração do dispositivo

• Configuração: Opnsense e DNS sobre TLS
• Configuração: PfSense e DNS sobre TLS
• Configuração: Pi-Hole e Quad9
• Configuração: OpenWrt (Luci)
• DNS Forwarders: Melhores Práticas
• Configuração: CloudFlared e Quad9
• Configuração: encaminhamento do Windows Server DNS
• Configuração: PlayStation 4 (PS4)
• Configuração: IPFire e DNS sobre TLS
• Configuração: Mikrotik Routeros e DNs sobre HTTPS

Conceitos e protocolos DNS

• DNS criptografado
• Subnet do cliente EDNS (ECS)

• Fornecedores de rede Quad9: Woodynet, PCH.redes net, i3d, GSL
• Quad9 IPS e outras configurações
• Serviço recomendado (seguro) 2
• Serviço seguro
• Seguro com o Serviço de Suporte ECS
• Serviço não garantido

• Como confirmar que você está usando o Quad9 – Windows
• Como confirmar que você está usando o Quad9 – Linux
• Como confirmar que você está usando quad9 – macOS

• Relatórios de domínio
• Como é um bloco de quad9?

Quad9 Connect Mobile App

DNS sobre TLS – Windows 10 (GUI Stubby /W)

Visão geral

Nota: Stubby com a GUI está em desenvolvimento. Quad9 recomenda verificar regularmente para novos lançamentos .

Stubby é um aplicativo de código aberto que atua como um local Resolvedor de stub de privacidade do DNS Usando DNS sobre TLS (DOT). Consultas DNS de Encrypts Stubby enviadas de um dispositivo cliente (desktop ou laptop) para um resolvedor de privacidade do DNS aumentando a privacidade do usuário final.

Passo 1

Passo 2

1. Abra o Firubby na sua lista de aplicativos do Windows (Iniciar)
2. Selecione a guia “Perfis de rede”.
3. Selecione apenas a opção “Quad9” e clique em “Aplicar tudo”.
4. Switch Stubby “On” e verifique se o status se torna “em execução”.

Quando o status está “em execução”, Stubby deve se definir automaticamente como o resolvedor de DNS nas configurações do Windows DNS, para que não haja necessidade de configurar nada manualmente no adaptador de rede.

Quando você fecha este menu, Stubby continuará a funcionar e estar disponível na bandeja do seu sistema.

etapa 3

Verifique se o Stubby está configurado para usar o Quad9 e definir -se como o resolvedor do DNS no sistema indo para https: // on.Quad9.rede/ para uma confirmação “sim” ou “não”.

Quad9
switch c/o
Werdstrasse 2
8004 Zurique
Suíça

Como ativar o DNS sobre o HTTPS no Windows 10

Você pode ativar o DNS sobre o HTTPS no Windows 10 (DOH) no Windows 10 usando um dos métodos disponíveis no sistema operacional, incluindo configurações e registro. DNS-over-https é um protocolo web relativamente jovem. Seu objetivo principal é aumentar a privacidade e a segurança do usuário impedindo a escuta e manipulação dos dados do DNS por ataques de man-in-the-middle usando o protocolo HTTPS para criptografar os dados entre o cliente DOH e o resolvedor DNS baseado em DOH.

O plano para apoiar o DOH no Windows 10 foi revelado com vários princípios que a Microsoft usará ao implementar o recurso no sistema operacional. A Microsoft planejou implementar o suporte para a criptografia do tráfego DNS em 2019, mas os usuários puderam experimentar esse novo recurso apenas em 2020. Portanto, o Windows 10 Build 19628 foi a primeira construção para incluir o suporte do DOH.

Esta postagem mostrará como ativar e configurar o recurso DNS sobre HTTPS (DOH) no Windows 10.

Conteúdo esconder

Ativar DNS sobre HTTPs no Windows 10

1. Abra o aplicativo de configurações. Você pode pressionar Win + i para abri -lo mais rápido.
2. Navegar para Rede e Internet> Status.
3. Clique em Propriedades.
4. Na próxima página, clique no Editar botão abaixo Configurações de DNS.
5. Selecione Manual.
6. Especifique os servidores DNS que suportam o DOH (consulte a lista no próximo capítulo).
7. Selecione Apenas criptografado (DNS sobre HTTPS) do no Criptografia DNS preferida menu suspenso para cada um dos servidores.
8. Se você estiver usando o IPv6 DNS, repita a etapa anterior para a configuração ITS.
9. Finalmente, clique no Salvar botão.

Você terminou. Para descobrir que o DOH realmente funciona, role o conteúdo da página Configurações de rede. Você deve ver “criptografado” ao lado do Endereço DNS valor no Propriedades página.

A lista de servidor Public DNS que suporta a criptografia pode ser encontrado na tabela abaixo.

A lista de servidores habilitados para DOH

Você pode usar os seguintes DNs públicos sobre servidores HTTPS.

No entanto, se sua versão do Windows 10 não permitir ativar o DNS sobre HTTPS nas configurações, e.g. As opções estão faltando, você pode aplicar um ajuste do registro para fazer o mesmo. É um método alternativo para o aplicativo de configurações.

Ligue o DNS sobre o HTTPS no registro

1. Abra o editor de registro. Pressione Win + R e Type Regedit na caixa de corrida.
2. Vá para a seguinte chave de registro. Hkey_local_machine \ System \ currentControlset \ Services \ DNScache \ Parâmetros .
3. À direita, modifique ou crie um novo valor DWORD de 32 bits Enableautodoh.
4. Defina seu valor para 2 .
5. Reinicie o Windows 10.

Isso ativará o DNS sobre o HTTPS, para que o Windows 10 comece a enviar e receber o tráfego do DNS através de servidores seguros e criptografados. No entanto, você precisa alterar o endereço do servidor DNS para um da tabela acima mencionada. Aqui está como você pode definir um endereço do servidor DNS.

Alterar o endereço do servidor depois de ativar o DOH

1. Abra o painel de controle clássico. Pressione Win + R e Tipo Controle na caixa de execução e depois pressione Digitar.
2. Vá para Painel de controle \ Rede e Internet \ Network and Sharing Center.
3. À direita, clique em Altere as propriedades do adaptador.
4. No Conexões de rede Janela, clique duas vezes na sua conexão de rede.
5. Clique Propriedades Na próxima janela.
6. Em Propriedades do adaptador, selecione os Internet Protocol Versão 4 (TCP/IPv4) entrada e clique no Propriedades botão.
7. Selecione a opção “Use os seguintes endereços do servidor DNS:” no Em geral aba. Digite o endereço do servidor DNS que suporta DOH.
8. Se a sua configuração de rede incluir IPv6, especifique os servidores IPv6 para o Internet Protocol Versão 6 (TCP/IPv6) opção.
9. Clique OK Para aplicar a mudança.

Por fim, você pode verificar se o DNS sobre o HTTPS funciona para você após aplicar o ajuste do registro e as alterações acima mencionadas. Você pode verificar isso’está trabalhando sem ver o tráfego DNS de texto simples do seu dispositivo.

Verifique se seus DNs sobre as configurações HTTPS funcionam

1. Abra um prompt de comando como administrador.
2. Digite e execute o seguinte comando para redefinir o filtro de tráfego de rede: filtro pktmon remover .
3. Digite e execute o seguinte comando para adicionar um filtro de tráfego para a porta 53, o Port Classic DNS usa: Pktmon Filter Add -p 53 .
4. Execute o seguinte comando para iniciar um registro em tempo real do tráfego: PKTMON START –ETW -M em tempo real .
5. Todos os pacotes da porta 53 serão impressos na linha de comando. Se o DOH funcionar, você não deve ver o tráfego aqui.

• Ativar DNs sobre HTTPs na Microsoft Edge
• Como ativar o DNS sobre o HTTPS (DOH) na ópera
• Ativar DNS sobre HTTPs no Chrome (DOH)
• Ativar DNs sobre HTTPs no Firefox

RECOMENDO: Clique aqui para corrigir problemas de WindоWs e otimizar o desempenho do sistema

Winaro conta muito em seu apoio. Você pode ajudar o site a continuar lhe trazendo conteúdo e software interessantes e úteis usando estas opções:

Se você gosta deste artigo, compartilhe -o usando os botões abaixo. Não vai demorar muito para você, mas vai nos ajudar a crescer. Obrigado por seu apoio!

Autor: Sergey Tkachenko

Sergey Tkachenko é um desenvolvedor de software que iniciou Winaero em 2011. Neste blog, Sergey está escrevendo sobre tudo conectado à Microsoft, Windows e Software Popular. Siga -o no Telegram, Twitter e YouTube. Ver todas as postagens de Sergey Tkachenko

Autor Sergey Tkachenko Atualizado pela última