Windows 11 如何使用DNS-over-HTTPS 隐私功能

微软在 Windows 11 中添加了一项名为 DNS-over-HTTPS 的隐私功能，允许用户执行加密的 DNS 查找以绕过审查和互联网活动。

连接到 Internet 上的网站或其他主机时，您的计算机必须首先向域名系统 (DNS) 服务器查询与主机名关联的 IP 地址。

DNS-over-HTTPS (DoH) 允许您的计算机通过加密的 HTTPS 连接执行这些 DNS 查找，而不是通过 ISP 和政府可以窥探的普通纯文本 DNS 查找。

由于一些政府和 ISP 通过监控用户的 DNS 流量来阻止与站点的连接，DoH 将允许用户绕过审查，防止欺骗攻击，并增加隐私，因为他们的 DNS 请求不容易被监控。

基于 Chromium 的浏览器，例如 Google Chrome 和 Microsoft Edge，以及 Mozilla Firefox，已经添加了对 DoH 的支持。尽管如此，它只在浏览器中使用，而不是由计算机上运行的其他应用程序使用。

这就是为什么操作系统支持该功能很有帮助，因为设备上的所有 DNS 查找都将被加密。

Windows 11 获得 DNS-over-HTTPS

微软首先发布了 DNS-over-HTTPS 以使用 Windows Insiders 在 Windows 10 预览版 20185 中进行测试，但后来在几个版本中禁用了它。

在 Windows 11 中，微软再次启用了 DoH 功能，用户可以通过转到设置> 网络和 Internet> 以太网/无线 > 编辑 DNS 服务器分配来开始测试它 。

如果设备当前配置为使用已知支持 DNS-over-HTTPS 的 DNS 服务器，您将看到一个新的“首选 DNS 加密”，您可以在其中启用 DoH，如下所示。

首选 DNS 加密选项提供以下选项：

• 仅未加密 - 使用标准的未加密 DNS。

• 仅加密（基于 HTTPS 的 DNS） - 仅使用 DoH 服务器。

• 首选加密，仅未加密 - 尝试使用 DoH 服务器，但如果不可用，则回退到标准的未加密 DNS。

目前，Microsoft 声明以下 DNS 服务器已知支持 DoH，并且可以由 Windows 11 DNS-over-HTTPS 功能自动使用。

• Cloudflare：1.1.1.1 和 1.0.0.1 DNS 服务器

• 谷歌：8.8.8.8 和 8.8.8.4 DNS 服务器

• Quad9：9.9.9.9 和 149.112.112.112 DNS 服务器

要查看已在 Windows 11 中配置的 DNS-over-HTTPS 定义，您可以使用以下命令：

Using netsh:
netsh dns show encryptionUsing
PowerShell:
Get-DnsClientDohServerAddress

Microsoft 还允许管理员使用以下命令创建自己的 DoH 服务器定义：

Using netsh:
netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=noUsing
PowerShell:
Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

微软表示，如果可以自动确定配置的 DNS 服务器的 DoH 服务器会更好，但这会导致隐私风险。

“如果我们允许 DoH 服务器通过解析其域名来确定其 IP 地址，对于用户和管理员来说会更容易。但是，我们选择不允许这样做。支持这意味着在我们建立 DoH 连接之前，我们必须首先发送一个纯文本 DNS 查询来引导它，”Windows 核心网络团队的项目经理 Tommy Jensen 在一篇新的博客文章中说。

“这意味着网络路径上的节点可能会恶意修改或阻止 DoH 服务器名称查询。目前，我们可以避免这种情况的唯一方法是让 Windows 提前知道 IP 地址和 DoH 模板之间的映射。”

未来，微软希望通过使用指定解析器发现 (DDR) 和 网络指定解析器发现 (DNR)的 DNS 服务器了解新的 DoH 服务器配置 ，他们已向 IETF ADD WG 提出了这些建议。

通过组策略管理 DoH

微软还增加了通过组策略管理 Windows 11 DNS-over-HTTPS 设置的功能。

在 Windows 11 中，Microsoft在“计算机配置”>“管理模板”>“网络”>“DNS 客户端”下引入了“通过 HTTPS (DoH) 名称解析配置 DNS”策略。

此策略允许您将计算机配置为使用标准未加密 DNS、首选 DoH 或需要 DoH。

#Windows11#

想了解更多精彩内容，快来关注四川人在香港