Как включить DNS over HTTPS в инсайдерских сборках Windows 10

DNS over HTTPS (DoH) позволяет улучшить приватность, безопасность и надежность соединения за счет шифрования DNS запросов, которые обычно передаются в текстовом виде.

DNS over HTTPS в последнее время стал очень популярным. В браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Opera уже реализована поддержка этого стандарта. Поддержка DoH в приложениях, в частности в браузерах, означает, что DNS-запросы, инициируемые программой, зашифровываются. Однако, запросы от других браузеров, которые не поддерживают DNS over HTTPS, будут совершаться в открытом текстовом виде.

Microsoft собирается это изменить, внедрив поддержку DNS over HTTPS в операционную систему Windows 10. В инсайдерской сборке Windows 10 Build 19628 была добавлена начальная поддержка DNS over HTTPS, а в Windows 10 Build 20185 (Dev) появилась возможность настраивать шифрование DNS over HTTPS в приложении «Параметры». После успешного тестирования технология станет доступна в стабильных сборках ОС.

Нативная поддержка DNS over HTTPS в Windows 10

Убедитесь, что ваша учетная запись Microsoft является частью Программы предварительной оценки Windows 10. Если вы знаете, что уже являетесь инсайдером Windows, убедитесь, что находитесь на канале обновления Dev и перейдите к настройке DNS over HTTPS. Если нет, то следуйте нашим инструкциям, чтобы получить последнюю версию сборки Windows 10 Insider Preview на Канале Dev.

После этого запустите Центр обновления Windows, установите последнюю доступную сборку и убедитесь, что вы используете Windows 10 Build 20185 или выше. Для проверки версии Windows 10 запустите окно команды Выполнить (Win+R) и введите команду winver .

Как включить нативный DoH-клиент в Windows 10

Как только вы узнаете, что у вашей версии Windows 10 есть поддержка нативного DoH-клиента, вы сможете включить шифрование DNS over HTTPS в приложении «Параметры». Для этого выполните следующие действия:

• Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
• Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет» > Wi-Fi. Щелкните ссылку «Свойства адаптера», затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.

Для настройки шифрования DNS–запросов доступны следующие опции в выпадающем меню Предпочтительное шифрование DNS:

• Только незашифрованные
• Только зашифрованные (DNS поверх HTTPS)
• Зашифрованный предпочтительный, незашифрованный

Чтобы разблокировать выпадающее меню и выбрать использование шифрования DNS over HTTPS, вы должны добавить IP-адрес, указанный ниже в таблице. В данный момент Microsoft поддерживает только безопасные серверы Cloudflare DNS, Google Public DNS и Quad9 DNS:

Провайдер	IP-адреса серверов
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Примечание

Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh по данной инструкции.

Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано).

Как проверить работу DNS over HTTPS в Windows 10

Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Откройте Командную строку или PowerShell от имени администратора. Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:

Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).

Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.

Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 10

Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.

Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:

Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:

Теперь, если настроить Windows 10 на использование IP-адресов Comss.one DNS (93.115.24.204 и 93.115.24.205) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:

Выполните проверку работы добавленного DoH-сервера.

В инсайдерской сборке Windows 10 можно протестировать поддержку DNS-over-HTTPS

Microsoft объявила, что поддержка DNS-over-HTTPS (DoH) теперь доступна в Windows 10 Insider Preview Build 19628 в Fast Ring.

Благодаря включению поддержки DoH в Windows Microsoft намерена повысить безопасность и конфиденциальность своих пользователей в Интернете, шифруя их DNS-запросы и автоматически удаляя доменные имена в виде простого текста, обычно присутствующие в незащищенном веб-трафике.

«Если вы не ожидали этого и задаетесь вопросом, что такое DoH, учтите, что эта функция изменит способ подключения вашего устройства к Интернету и находится на ранней стадии тестирования, поэтому продолжайте работу, только если вы уверены, что готовы», — отметили в Microsoft.

Хотя поддержка DoH появилась в выпуске Windows 10 Insider Preview Build 19628, она не включена по умолчанию.

Чтобы активировать встроенный клиент DoH, необходимо выполнить следующую процедуру:

• открыть Registry Editor;
• перейти в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters registry key;
• создать новое значение DWORD с именем «EnableAutoDoh»;
• установить значение 2.

После активации клиента Windows автоматически начнет шифровать запросы DNS, если используется один из этих серверов DNS с поддержкой DoH:

«Windows можно настроить для использования любого из этих IP-адресов в качестве DNS-сервера через панель управления или приложение «Настройки», — объясняет Microsoft. — «При следующем перезапуске службы DNS мы начнем использовать DoH для связи с этими серверами вместо классического DNS через порт 53. Самый простой способ запустить перезапуск службы DNS — это перезагрузить компьютер».

Чтобы добавить свои собственные настраиваемые DNS-серверы с помощью панели управления Windows, необходимы следующие действия:

• перейти в Сеть и Интернет -> Центр управления сетями и общим доступом -> изменить настройки адаптера;
• щелкнуть правой кнопкой мыши соединение, к которому хотите добавить DNS-сервер, и выбрать Свойства;
• выбрать «Протокол Интернета версии 4 (TCP/IPv4)» или «Протокол Интернета версии 6 (TCP/IPv6)» и нажать «Свойства»;
• убедиться, что выбран переключатель «Использовать следующие адреса DNS-серверов», и добавить адрес DNS-сервера в поля ниже.

Проверить, выполняет ли клиент Windows DoH свою работу, можно с помощью утилиты PacketMon для проверки трафика, поступающего в Интернет через порт 53. После включения DoH такого трафика практически не будет.

Для проверки нужно открыть окно командной строки или PowerShell и выполнить следующие команды, чтобы сбросить фильтры сетевого трафика PacketMon, добавить фильтр трафика для порта 53 (порт, используемый для незашифрованных DNS-запросов) и начать регистрацию трафика в реальном времени.

Microsoft также предоставляет инструкции о том, как протестировать клиент DoH, вручную добавив DNS-серверы с поддержкой DoH, которых нет в списке автоматического продвижения по умолчанию.

Mozilla уже развернула DNS-over-HTTPS по умолчанию для всех пользователей Firefox из США с 25 февраля. Им предлагали выбрать одного из двух доверенных резолверов DoH: Cloudflare или NextDNS. Впоследствии выяснилось, что при аудите безопасности Cloudflare были выявлены проблемы. Например, он показал, что некоторые анонимные данные хранятся в журналах в течение неопределенного времени.

Google также в настоящее время запускает ограниченную пробную версию DoH на всех платформах (кроме Linux и iOS), начиная с выпуска Chrome 79. Однако, в отличие от Mozilla, Google не будет автоматически менять провайдера DNS, а вместо этого будет обновлять протокол разрешения DNS только в Chrome, если провайдер DNS по умолчанию поддерживает DoH.

Microsoft объявила о развертывании DNS-over-HTTPS осенью. Тогда сообщалось, что Windows DNS должна быть настолько частной и функциональной, насколько это возможно по умолчанию; пользователи и администраторы должны руководствоваться настройками DNS, даже если они еще не знают, что такое DNS; они должны иметь возможность улучшить свою конфигурацию DNS с помощью как можно меньшего количества простых действий; должны иметь возможность отказа от зашифрованного DNS после его настройки.

Windows 10 Build 20185 (Dev): Настройка шифрования DNS over HTTPS в приложении «Параметры»

Windows 10 Insider Preview build 20185.1000 – сборка, которая относится к ветви разработки RS_PRERELEASE, доступна участникам программы Windows Insider на Канале Dev.

Полный номер сборки: 20185.1000.rs_prerelease.200731-1415

Новое в Windows 10 build 20185

Улучшена настройка DNS в приложении «Параметры»

• Настройки DNS стали более доступными: Редактирование значений DNS-сервера теперь является опцией верхнего уровня, когда вы заходите на страницу свойств сети.
• Настройка шифрования DNS over HTTPS в приложении «Параметры»: Зашифрованный DNS (DNS поверх HTTPS или DoH) может помочь повысить конфиденциальность и безопасность во время просмотра веб-страниц. Теперь вы можете настроить DoH непосредственно в приложении «Параметры»:
  • Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
  • Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет» > Wi-Fi. Щелкните ссылку «Свойства адаптера», затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.

Чтобы разблокировать выпадающее меню Предпочтительное шифрование DNS и выбрать использование шифрования Только зашифрованные (DNS поверх HTTPS), вы можете добавить любой IP-адрес, указанный в статье Как включить DNS over HTTPS в инсайдерских сборках Windows 10. В данный момент Microsoft поддерживает Cloudflare DNS, Google Public DNS и Quad9 DNS.

Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано). Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh по данной инструкции для (пример добавления Comss.one Secure DNS).

Новые политики с поддержкой ADMX для MDM

Начиная со сборки Windows 10 Insider Preview Build 20175, Microsoft включила 647 новых MDM политик в 56 ADMX файлах, чтобы позволить коммерческим клиентам настраивать политики, которые также поддерживаются с помощью групповых политик. Политики на основе ADMX включают, такие политики как App Compat, Event Forwarding, Servicing и Task Scheduler. Эти новые политики можно настраивать с помощью пользовательского профиля Intune. Планируется, что Intune UX будет доступен позже в этом году.

Имена файлов ADMX:

• AddRemovePrograms.admx
• AppCompat.admx
• AuditSettings.admx
• CipherSuiteOrder.admx
• COM.admx
• Cpls.admx
• CtrlAltDel.admx
• DigitalLocker.admx
• DnsClient.admx
• DWM.admx
• EncryptFilesonMove.admx
• EventForwarding.admx
• FileServerVSSProvider.admx
• FileSys.admx
• FolderRedirection.admx
• Help.admx
• HelpAndSupport.admx
• kdc.admx
• LanmanServer.admx
• LinkLayerTopologyDiscovery.admx
• MMC.admx
• MMCSnapins.admx
• MSAPolicy.admx
• nca.admx
• NCSI.admx
• Netlogon.admx
• OfflineFiles.admx
• PeerToPeerCaching.admx
• PerformanceDiagnostics.admx
• PreviousVersions.admx
• QOS.admx
• Reliability.admx
• Scripts.admx
• sdiageng.admx
• Securitycenter.admx
• Servicing.admx
• Setup.admx
• SharedFolders.admx
• Sharing.admx
• Shell-CommandPrompt-RegEditTools.admx
• Smartcard.admx
• Snmp.admx
• TaskScheduler.admxtcpip.admx
• Thumbnails.admx
• TPM.admx
• UserExperienceVirtualization.admx
• W32Time.admx
• WinCal.admx
• WindowsAnytimeUpgrade.admx
• WindowsConnectNow.admx
• WindowsMediaDRM.admx
• WindowsMediaPlayer.admx
• WindowsMessenger.admx
• WinInit.admx

Другие изменения для инсайдеров

Доступ к приложениям Android с компьютера Windows 10

Владельцы смартфонов Samsung и смартфонов с поддержкой функции «Экран телефона» смогут запускать приложения Android в окнах Windows 10 за счет потоковой передачи с помощью функции «Приложения».

Новая функция в приложении «Ваш телефон» покажет список всех приложений Android, установленных на вашем телефоне, а при выборе определенного приложения, оно будет помещено в окно, как будто оно работает на компьютере Windows 10. Эта функция, по сути, переносит приложения Android в Windows, но выполняются они на мобильном устройстве, а не на ПК.

Основные возможности функции «Приложения»:

• Список установленных приложений для Android доступен непосредственно в приложении «Ваш телефон».
• Возможности добавить часто используемые приложения в раздел Избранное и выполнять поиск среди приложений для еще более быстрого доступа.
• Запуск любого мобильного приложения прямо с вашего Windows 10 ПК.
• Запуск приложений и зеркального экрана телефона в отдельном окне на вашем ПК.
• Закрепите мобильные приложения на панели задач Windows или в меню «Пуск».
• Оставайтесь в курсе событий, отслеживая пропущенные уведомления приложения (непрочитанные уведомления) в списке «Все приложения» или в Избранном.

Требования для работы функции «Приложения»

• ПК на ОС Windows 10, версия 1809 или новее. Рекомендуется использовать последние версии Windows 10 и приложений Ваш телефон и «Связь с Windows».
• Смартфоны под управлением Android 9.0 и выше с интегрированным приложением «Связь с Windows».
• Телефон Android должен подключен к той же сети Wi-Fi, что и ПК

Подробнее

Изменения и улучшения

• Приложение «3D просмотр» перемещено в папку «Стандартные – Windows» в списке всех приложений меню Пуск.

Исправления

• Исправлена проблема, из-за которой действие «закрыть все окна» на панели задач иногда не закрывало все открытые вкладки закрепленных сайтов.
• Исправлена проблема, из-за которой значок сети на панели задач мог указывать на отсутствие интернета, хотя соединение было активно.
• Исправлена проблема, из-за которой перетаскивание приложения из списка всех приложений меню Пуск в сетку плиток не работало для некоторых приложений.
• Исправлена проблема, из-за которой заголовки букв в списке всех приложений меню Пуск имели ненужное заполнение слева, когда список всех приложений был скрыт.
• Чтобы решить проблему, из-за которой плитки в меню Пуск были плохо читаемыми на определенном фоне при использовании полноэкранного запуска, фон сделан немного менее прозрачным.
• Исправлена проблема, из-за которой при использовании макета меню Пуск, примененного из сервиса MDM, группы плиток могли исчезнуть через несколько дней, если не была выполнена перезагрузка.
• Исправлена проблема, из-за которой, если уведомление включало встроенное изображение, значок приложения немного отличался.
• Исправлена проблема, из-за которой запуск приложения из списка переходов на панели задач не работал для некоторых приложений рабочего стола и вместо этого приводил к исчезновению приложения с панели задач.
• Исправлена проблема, приводившая к большому сетевому трафику при использовании диалогового окна «Открыть файл» для перехода к общим сетевым папкам, где были включены предыдущие версии.
• Исправлена проблема, которая могла привести к отображению пустого значка вместо кнопки плюса на главной странице настроек приложений по умолчанию, после удаления приложения, установленного по умолчанию.
• Исправлена проблема, из-за которой открытие настроек хранилища с последующим немедленным переходом на одну из подстраниц, а затем обратно могло привести к тому, что страница не загружалась.
• Исправлена проблема, из-за которой новый Microsoft Edge не отображался в журнале использования приложений диспетчера задач.
• Исправлена проблема, влиявшая на надежность запуска сенсорной клавиатуры.
• Исправлена проблема, из-за которой процесс TextInputHost.exe переходил в неактивное состояние, что приводило к тому, что история буфера обмена, панель эмоджи и режим диктовки не отображались при нажатии соответствующих сочетаний клавиш.
• Исправлена проблема, которая могла привести к невозможности вставить первую запись в историю буфера обмена.
• Исправлена проблема, которая могла привести к проверке устройства на ошибки, при выходе устройств ARM64 из спящего режима.

Известные проблемы

• Некоторые игры из Microsoft Store, защищенные с помощью Easy Anti-Cheat, могут не запуститься.
• Изучаются отчеты о проблеме с зависающим в течение длительного периода времени процессе обновления при попытке установить новую сборку.
• Кнопки сворачивания/разворачивания окна застревают в исходном положении после изменения размера приложений UWP. Если вы переместите окно приложения, позиция кнопок должна обновиться.
• Новая панель задач, включая предварительный просмотр вкладок, не работает для некоторых закрепленных сайтов.
• На закрепленных сайтах не отображаются все открытые вкладки для домена.
• Переключение с помощью Alt + Tab по вкладкам браузера иногда перемещает ранее активную вкладку браузера в начало списка Alt + Tab.
• Открытие дистрибутива подсистемы Windows для Linux (версии WSL 1) может привести к ошибке: «The I/O operation has been aborted because of either a thread exit or an application request».

Полный список улучшений, изменений и известных ошибок доступен в официальном анонсе на сайте Microsoft.

Установка через Центр обновления Windows

Перейдите в меню Параметры > Обновление и безопасность и нажмите Проверить наличие обновлений . Для завершения установки потребуется перезагрузка компьютера.

Скачать Windows 10 build 20185 (Dev)

Альтернативная загрузка

Если вы хотите выполнить чистую установку Windows 10 Insider Preview build 20185, то, используя сервис WZT-UUP, можно скачать UUP файлы прямо с официальных серверов Microsoft и автоматически создать загрузочный ISO-образ, используя следующую инструкцию: