Настраиваем DNS over HTTPS (DoH) в Windows 10

Поддержка протокола DNS over HTTPS (DoH) появилась в последнем билде Windows 10 2004 (May 2020 Update). Начиная с этой версии, Windows 10 может выполнять разрешение имен через HTTPS с помощью встроенного клиента DoH. В этой статье мы расскажем для чего нужен протокол DNS over HTTPS, как его включить и использовать в Windows 10.

Когда ваш компьютер обращается к серверу DNS для разрешения имен, этот обмен данными происходит в открытом виде. Злоумышленник может подслушать ваш трафик, определить какие ресурсы вы посещали, или манипулировать DNS трафиком по типу main-in-the-middle. Протокол DNS over HTTPS предполагает усиление защиты приватности данных пользователей за счет шифрования всех DNS запросов. Протокол DoH инкапсулирует запросы DNS в HTTPS трафик и отправляет из DNS серверу (нужен специальный DNS сервер с поддержкой DoH).

В Windows 10 2004 пока нет параметра групповой политики или опции в графическом интерфейсе для включения DNS-over-HTTPS. Пока можно включить DoH только через реестр:

1. Запустите regedit.exe ;
2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameter;
3. Создайте DWORD параметр с именем EnableAutoDoh и значением 2;

Затем нужно изменить настройки DNS вашего сетевого подключения. Нужно указать DNS сервера с поддержкой DNS over HTTPS. Пока далеко не все DNS сервера поддерживают DoH. В таблице ниже перечислен список общедоступных DNS с поддержкой DNS over HTTPS.

Провайдер	IP адреса DNS серверов с поддержкой DNS over HTTPS
Cloudflare	1.1.1.1, 1.0.0.1
Google	8.8.8.8, 8.8.4.4
Quad9	9.9.9.9, 149.112.112.112

Откройте панель настройки сети — Control Panel -> Network and Internet -> Network and Sharing Center (или ncpa.cpl ). Затем в свойствах сетевого адаптера измените текущие адреса DNS серверов на адреса DNS серверов с поддержкой DoH.

$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses ‘8.8.8.8’, ‘1.1.1.1’

Теперь клиент DNS начинает использовать для разрешения имен протокол HTTPS по порту 443 вместо обычного 53 порта.

С помощью утилиты захвата сетевого трафика PktMon.exe (о которой мы говорили ранее) вы можете проверить, что с компьютера теперь не отправляются DNS запросы по порту 53.

Удалите все текущие фильтры Packet Monitor:

pktmon filter remove

Создайте новый фильтр для классического DNS порт 53:

pktmon filter add -p 53

Запустите мониторинг трафика в реальном времени (трафик выводится в консоль):

pktmon start —etw -p 0 -l real-time

Если вы правильно настроили DNS over HTTPS, то трафик по порту 53 должен отсутствовать (на скриншоте ниже показан вывод в консоль при отключённом DoH и при включенном).

DNS over HTTPS за последний год реализован во всех популярных браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). В каждом из этих браузеров вы можете включить поддержку DoH. Таком образом все DNS запросы от браузера будут шифроваться (DNS трафик других приложений по прежнему будет идти в открытом текстовом виде).

Больше все проблем технологии DNS over HTTPS и DNS over TLS создадут администраторам корпоративных сетей, которым станет сложнее блокировать доступн к внешним ресурсам из внутренних сетей. Также не понятно, что парирует делать Роскомнадзор, чья методика глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI) перестанет работать при переходе протокола DNS на рельсы шифрованного https.

Как использовать пользовательские настройки DNS в Windows 10

Обычно, когда вы подключаете интернет-соединение, ваш интернет-провайдер (ISP) предоставляет необходимые сетевые настройки, включая адреса DNS, которые вы можете использовать для быстрой загрузки веб-сайтов, загрузки файлов и использования онлайн-сервисов. Однако, иногда DNS-серверы медленно отвечают на запросы или просто ненадежны. Изменение настроек по умолчанию может улучшить ваш опыт работы в интернете.

Что такое DNS

DNS означает «система доменных имён», и это услуга, которая позволяет вам открывать веб-браузер, вводить доменное имя и загружать ваши любимые веб-сайты.

Все компьютеры, подключенные к интернету, имеют IP-адреса, которые позволяют им общаться друг с другом. Однако, мы не компьютеры, и IP-адрес (вида 193.109.246.68) трудно запомнить. DNS обеспечивает способ для перевода дружественных доменных имен (windows-school.ru) в IP-адрес, что могут понять компьютеры.

Хотя большинство из нас попадают на наши любимые веб-сайты, просто набирая URL-адреса, например https://windows-school.ru, ваш браузер должен знать IP-адрес сайта, к которому вы пытаетесь получить доступ. Для этого при вводе нового доменного имени ваш браузер отправляет запрос на DNS-сервер, чтобы преобразовать доменное имя в IP-адрес, а когда совпадение найдено, оно возвращается в браузер и страница загружается.

Как правило, этот процесс довольно быстрый, измеряется в миллисекундах, но если DNS-серверы, предоставляемые вашим интернет-провайдером, ненадежны или по какой-либо причине вам нужно использовать пользовательские настройки, Windows 10 позволяет вам быстро изменять настройки DNS на вашем компьютере.

В этом уроке по Windows 10 мы расскажем, как изменить настройки DNS на вашем компьютере с помощью панели управления и командной строки.

Как изменить настройки DNS в панели управления

Чтобы изменить настройки DNS на устройстве Windows 10 с помощью панели управления, выполните следующие действия:

1. Откройте Панель управления.
2. Нажмите на Сеть и Интернет → Центр управления сетями и общим доступом.
3. На левой панели нажмите Изменить настройки адаптера.

Щелкните правой кнопкой мыши сетевой интерфейс, подключенный к Интернету, и выберите Свойства.

В открывшемся окне свойств выберите IP версии 4 (TCP / IPv4) из списка.

Нажмите кнопку Свойства .

Выберите параметр Использовать следующие адреса DNS-серверов.

Введите предпочитаемые и альтернативные адреса DNS-серверов. Здесь вы можете ввести любые DNS-серверы, в том числе и бесплатные, такие как Яндекс.DNS, Google Public DNS или OpenDNS.

• Яндекс.DNS:
  • Базовый: 77.88.8.8 и 77.88.8.1 – быстрый и надежный DNS
  • Безопасный: 77.88.8.88 и 77.88.8.2 – без мошеннических сайтов и вирусов
  • Семейный: 77.88.8.7 и 77.88.8.3 – без сайтов для взрослых
• Публичные DNS-адреса Google: 8.8.8.8 и 8.8.4.4
• Адреса OpenDNS: 208.67.222.222 и 208.67.220.220

Нажмите ОК . и Закрыть , чтобы применить новые настройки DNS к адаптеру.

После выполнения этих действий ваш компьютер сразу же начнет использовать новые настройки DNS.

В редком случае, когда вам нужно использовать более двух DNS-адресов, на шаге 8 вы можете нажать кнопку Дополнительно , а на вкладке DNS вы можете добавлять, редактировать и удалять столько IP-адресов DNS, сколько вам нужно.

У вас даже есть кнопки сбоку, чтобы установить их приоритет.

Как изменить настройки DNS в командной строке

В зависимости от того, как вы используете ОС, иногда у вас не будет доступа к панели управления, но вы все равно можете изменить настройки DNS, запустив несколько команд, как показано здесь:

1. Откройте командную строку от имени администратора.
2. Введите следующую команду, чтобы отобразить имена ваших сетевых адаптеров, и нажмите Enter :
3. Введите следующую команду, чтобы изменить настройки сети, и нажмите Enter :
4. Введите следующую команду для установки основного IP-адреса DNS и нажмите Enter :

В этой команде не забудьте изменить ADAPTER-NAME на имя сетевого адаптера, которое вы получили на шаге 2, и измените XXXX на адрес DNS-сервера, который вы хотите использовать.

Введите следующую команду, чтобы добавить альтернативный IP-адрес DNS, и нажмите Enter :

В этой команде не забудьте изменить ADAPTER-NAME на имя сетевого адаптера, которое вы получили на шаге 2, и измените XXXX на адрес дополнительного DNS-сервера, который вы хотите использовать.

После выполнения команд ваше устройство сразу же начнет использовать новые настройки DNS.

Если вам нужно настроить более одного альтернативного адреса, вы можете повторить шаг 5, но увеличить номер индекса на 1.

Вот пример использования команды для добавления третьего IP-адреса DNS в Windows 10:

Хотя Windows 10 предоставляет вам несколько способов изменить настройки DNS на вашем устройстве, есть много других подходов для достижения той же цели, таких как использование стороннего приложения или настройка маршрутизатора.

Шаги, которые мы упомянули в этом руководстве, хорошо работают, когда у вас есть только один компьютер в доме или, например, когда вы работаете в кафе и хотите использовать свои собственные конфигурации DNS.

Важное примечание: мы не рекомендуем использовать эти шаги, если вы используете компьютер на работе, потому что изменение этих настроек может привести к обрыву подключения и другим проблемам. Если вы хотите изменить эти настройки на своем рабочем компьютере, всегда сначала обращайтесь к своему IT-администратору.

Windows 10 Build 20185 (Dev): Настройка шифрования DNS over HTTPS в приложении «Параметры»

Windows 10 Insider Preview build 20185.1000 – сборка, которая относится к ветви разработки RS_PRERELEASE, доступна участникам программы Windows Insider на Канале Dev.

Полный номер сборки: 20185.1000.rs_prerelease.200731-1415

Новое в Windows 10 build 20185

Улучшена настройка DNS в приложении «Параметры»

• Настройки DNS стали более доступными: Редактирование значений DNS-сервера теперь является опцией верхнего уровня, когда вы заходите на страницу свойств сети.
• Настройка шифрования DNS over HTTPS в приложении «Параметры»: Зашифрованный DNS (DNS поверх HTTPS или DoH) может помочь повысить конфиденциальность и безопасность во время просмотра веб-страниц. Теперь вы можете настроить DoH непосредственно в приложении «Параметры»:
  • Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
  • Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет» > Wi-Fi. Щелкните ссылку «Свойства адаптера», затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.

Чтобы разблокировать выпадающее меню Предпочтительное шифрование DNS и выбрать использование шифрования Только зашифрованные (DNS поверх HTTPS), вы можете добавить любой IP-адрес, указанный в статье Как включить DNS over HTTPS в инсайдерских сборках Windows 10. В данный момент Microsoft поддерживает Cloudflare DNS, Google Public DNS и Quad9 DNS.

Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано). Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.

Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh по данной инструкции для (пример добавления Comss.one Secure DNS).

Новые политики с поддержкой ADMX для MDM

Начиная со сборки Windows 10 Insider Preview Build 20175, Microsoft включила 647 новых MDM политик в 56 ADMX файлах, чтобы позволить коммерческим клиентам настраивать политики, которые также поддерживаются с помощью групповых политик. Политики на основе ADMX включают, такие политики как App Compat, Event Forwarding, Servicing и Task Scheduler. Эти новые политики можно настраивать с помощью пользовательского профиля Intune. Планируется, что Intune UX будет доступен позже в этом году.

Имена файлов ADMX:

• AddRemovePrograms.admx
• AppCompat.admx
• AuditSettings.admx
• CipherSuiteOrder.admx
• COM.admx
• Cpls.admx
• CtrlAltDel.admx
• DigitalLocker.admx
• DnsClient.admx
• DWM.admx
• EncryptFilesonMove.admx
• EventForwarding.admx
• FileServerVSSProvider.admx
• FileSys.admx
• FolderRedirection.admx
• Help.admx
• HelpAndSupport.admx
• kdc.admx
• LanmanServer.admx
• LinkLayerTopologyDiscovery.admx
• MMC.admx
• MMCSnapins.admx
• MSAPolicy.admx
• nca.admx
• NCSI.admx
• Netlogon.admx
• OfflineFiles.admx
• PeerToPeerCaching.admx
• PerformanceDiagnostics.admx
• PreviousVersions.admx
• QOS.admx
• Reliability.admx
• Scripts.admx
• sdiageng.admx
• Securitycenter.admx
• Servicing.admx
• Setup.admx
• SharedFolders.admx
• Sharing.admx
• Shell-CommandPrompt-RegEditTools.admx
• Smartcard.admx
• Snmp.admx
• TaskScheduler.admxtcpip.admx
• Thumbnails.admx
• TPM.admx
• UserExperienceVirtualization.admx
• W32Time.admx
• WinCal.admx
• WindowsAnytimeUpgrade.admx
• WindowsConnectNow.admx
• WindowsMediaDRM.admx
• WindowsMediaPlayer.admx
• WindowsMessenger.admx
• WinInit.admx

Другие изменения для инсайдеров

Доступ к приложениям Android с компьютера Windows 10

Владельцы смартфонов Samsung и смартфонов с поддержкой функции «Экран телефона» смогут запускать приложения Android в окнах Windows 10 за счет потоковой передачи с помощью функции «Приложения».

Новая функция в приложении «Ваш телефон» покажет список всех приложений Android, установленных на вашем телефоне, а при выборе определенного приложения, оно будет помещено в окно, как будто оно работает на компьютере Windows 10. Эта функция, по сути, переносит приложения Android в Windows, но выполняются они на мобильном устройстве, а не на ПК.

Основные возможности функции «Приложения»:

• Список установленных приложений для Android доступен непосредственно в приложении «Ваш телефон».
• Возможности добавить часто используемые приложения в раздел Избранное и выполнять поиск среди приложений для еще более быстрого доступа.
• Запуск любого мобильного приложения прямо с вашего Windows 10 ПК.
• Запуск приложений и зеркального экрана телефона в отдельном окне на вашем ПК.
• Закрепите мобильные приложения на панели задач Windows или в меню «Пуск».
• Оставайтесь в курсе событий, отслеживая пропущенные уведомления приложения (непрочитанные уведомления) в списке «Все приложения» или в Избранном.

Требования для работы функции «Приложения»

• ПК на ОС Windows 10, версия 1809 или новее. Рекомендуется использовать последние версии Windows 10 и приложений Ваш телефон и «Связь с Windows».
• Смартфоны под управлением Android 9.0 и выше с интегрированным приложением «Связь с Windows».
• Телефон Android должен подключен к той же сети Wi-Fi, что и ПК

Подробнее

Изменения и улучшения

• Приложение «3D просмотр» перемещено в папку «Стандартные – Windows» в списке всех приложений меню Пуск.

Исправления

• Исправлена проблема, из-за которой действие «закрыть все окна» на панели задач иногда не закрывало все открытые вкладки закрепленных сайтов.
• Исправлена проблема, из-за которой значок сети на панели задач мог указывать на отсутствие интернета, хотя соединение было активно.
• Исправлена проблема, из-за которой перетаскивание приложения из списка всех приложений меню Пуск в сетку плиток не работало для некоторых приложений.
• Исправлена проблема, из-за которой заголовки букв в списке всех приложений меню Пуск имели ненужное заполнение слева, когда список всех приложений был скрыт.
• Чтобы решить проблему, из-за которой плитки в меню Пуск были плохо читаемыми на определенном фоне при использовании полноэкранного запуска, фон сделан немного менее прозрачным.
• Исправлена проблема, из-за которой при использовании макета меню Пуск, примененного из сервиса MDM, группы плиток могли исчезнуть через несколько дней, если не была выполнена перезагрузка.
• Исправлена проблема, из-за которой, если уведомление включало встроенное изображение, значок приложения немного отличался.
• Исправлена проблема, из-за которой запуск приложения из списка переходов на панели задач не работал для некоторых приложений рабочего стола и вместо этого приводил к исчезновению приложения с панели задач.
• Исправлена проблема, приводившая к большому сетевому трафику при использовании диалогового окна «Открыть файл» для перехода к общим сетевым папкам, где были включены предыдущие версии.
• Исправлена проблема, которая могла привести к отображению пустого значка вместо кнопки плюса на главной странице настроек приложений по умолчанию, после удаления приложения, установленного по умолчанию.
• Исправлена проблема, из-за которой открытие настроек хранилища с последующим немедленным переходом на одну из подстраниц, а затем обратно могло привести к тому, что страница не загружалась.
• Исправлена проблема, из-за которой новый Microsoft Edge не отображался в журнале использования приложений диспетчера задач.
• Исправлена проблема, влиявшая на надежность запуска сенсорной клавиатуры.
• Исправлена проблема, из-за которой процесс TextInputHost.exe переходил в неактивное состояние, что приводило к тому, что история буфера обмена, панель эмоджи и режим диктовки не отображались при нажатии соответствующих сочетаний клавиш.
• Исправлена проблема, которая могла привести к невозможности вставить первую запись в историю буфера обмена.
• Исправлена проблема, которая могла привести к проверке устройства на ошибки, при выходе устройств ARM64 из спящего режима.

Известные проблемы

• Некоторые игры из Microsoft Store, защищенные с помощью Easy Anti-Cheat, могут не запуститься.
• Изучаются отчеты о проблеме с зависающим в течение длительного периода времени процессе обновления при попытке установить новую сборку.
• Кнопки сворачивания/разворачивания окна застревают в исходном положении после изменения размера приложений UWP. Если вы переместите окно приложения, позиция кнопок должна обновиться.
• Новая панель задач, включая предварительный просмотр вкладок, не работает для некоторых закрепленных сайтов.
• На закрепленных сайтах не отображаются все открытые вкладки для домена.
• Переключение с помощью Alt + Tab по вкладкам браузера иногда перемещает ранее активную вкладку браузера в начало списка Alt + Tab.
• Открытие дистрибутива подсистемы Windows для Linux (версии WSL 1) может привести к ошибке: «The I/O operation has been aborted because of either a thread exit or an application request».

Полный список улучшений, изменений и известных ошибок доступен в официальном анонсе на сайте Microsoft.

Установка через Центр обновления Windows

Перейдите в меню Параметры > Обновление и безопасность и нажмите Проверить наличие обновлений . Для завершения установки потребуется перезагрузка компьютера.

Скачать Windows 10 build 20185 (Dev)

Альтернативная загрузка

Если вы хотите выполнить чистую установку Windows 10 Insider Preview build 20185, то, используя сервис WZT-UUP, можно скачать UUP файлы прямо с официальных серверов Microsoft и автоматически создать загрузочный ISO-образ, используя следующую инструкцию: