Microsoft добавила в Windows 11 функцию DNS-over-HTTPS, позволяющую пользователям выполнять DNS-запросы через зашифрованное HTTPS-соединение, а не через обычный текстовый поиск, который можно отследить. DoH позволит пользователям обходить цензуру, предотвращать атаки спуфинга и повысить конфиденциальность.

www.microsoft.com

Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DoH. Тем не менее, такое шифрование используется пока только в браузерах, но не в других приложениях, запущенных на компьютере.

Microsoft впервые выпустила DNS-over-HTTPS для инсайдеров в предварительной сборке Windows 10 20185, но отключила функцию позже.

В Windows 11 DoH можно протестировать, выбрав «Настройки»> «Сеть и Интернет»> «Ethernet/беспроводная связь»> «Изменить назначение DNS-сервера».

Если устройство использует DNS-сервер, который поддерживает DNS-over-HTTPS, то всплывет соответствующее окно «Предпочтительное шифрование DNS», где можно включить DoH, как показано ниже:

При этом можно выбрать несколько опций:

• только незашифрованный — используйте стандартный незашифрованный DNS,

• только зашифрованные (DNS через HTTPS) — используйте только серверы DoH,

• предпочтительно зашифрованный — попробуйте использовать серверы DoH, но если они недоступны, вернитесь к стандартному незашифрованному DNS.

Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически пользоваться функцией Windows 11 DNS-over-HTTPS:

• Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1,

• Google: DNS-серверы 8.8.8.8 и 8.8.8.4,

• Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112.

Чтобы увидеть настроенные определения DNS-over-HTTPS, можно использовать следующие команды:

Using netsh: netsh dns show encryption Using PowerShell: Get-DnsClientDohServerAddress

Microsoft также позволяет администраторам создавать свои собственные определения DoH-серверов, используя следующие команды:

Using netsh: netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no Using PowerShell: Add-DnsClientDohServerAddress -ServerAddress ‘[resolver-IP-address]’ -DohTemplate ‘[resolver-DoH-template]’ -AllowFallbackToUdp $False -AutoUpgrade $True

«Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем разрешения его доменного имени. Однако мы решили не допускать этого. Поддержка этого будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для его начальной загрузки», — говорит Томми Дженсен, менеджер программ подразделения Windows Core Networking.

Microsoft также добавила возможность управлять настройками Windows 11 DNS-over-HTTPS с помощью групповых политик.

В Windows 11 представлена политика «Настроить DNS через HTTPS (DoH)» в разделе «Конфигурация компьютера»> «Административные шаблоны»> «Сеть»> «DNS-клиент».

24 июня Microsoft представила Windows 11, а 28 июня выпустила первую официальную предварительную версию Insider Preview build 22000.51 в рамках программы предварительной оценки.

Microsoft объяснила, зачем Windows 11 нужен модуль TPM 2.0. С помощью этой технологии компания собирается защищать пользователей от растущего уровня киберпреступности в мире, включая распространение фишинговых рассылок и внедрение программ-вымогателей. Однако компания может разрешить поставку некоторых систем без включенной функции, в том числе, в Россию.