DNS-Abfragen über HTTPS (DoH) absichern in Windows 11


    Tags: , , ,

    Domain Name ServiceDNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authen­tizität des DNS-Servers gewähr­leistet und die An­fragen an diesen Dienst vor neu­gierigen Zeit­genossen ver­birgt. Microsoft hat den Support für DoH in Windows schon länger ange­kündigt, in den aktu­ellen Previews lässt es sich via GUI oder GPO konfi­gurieren.

    Bevorzugte Anwendungs­gebiete für DoH sind fremde (drahtlose) Netzwerke, in die sich mobile Anwender eingebucht haben. Dort könnten sie Opfer eines mani­pulierten DNS-Servers oder eines Man-in-the-Middle-Angriffs werden, wenn DNS-Anfragen im Klartext übertragen werden.

    Unterstützt wird diese Technik bis dato vor allem von Cloud-Providern wie Google oder Cloudflare, Windows Server bietet sie bis dato nicht nativ. Für den privaten Einsatz existieren Open-Source-Implemen­tierungen wie DNSProxy oder lambDoH.

    Wenn man sich in PowerShell mit DoH spielen möchte, dann eignet sich das JSON-API für einen simplen HTTP-Get-Aufruf:

    Invoke-RestMethod -Uri `
    "https://dns.google.com/resolve?name=www.google.de&type=A&ct=application/dns+json" |
    select {$_.Answer.data}

    Eigene DoH-Unterstützung der Web-Browser

    Die aktuellen Versionen aller gängigen Browser unterstützen bereits DoH. Bei den meisten wählt man dafür aus einer vorgegebenen Liste einen öffentlichen Service von Anbietern wie Google oder NextDNS aus. Alternativ kann man die IP eines anderen Dienstes eingeben, von dem man weiß, dass er DNS über HTTPS bietet.

    In Microsoft Edge lässt sich DoH unabhängig vom Betriebssystem  konfigurieren.

    Der Browser löst dann die Adressen über seinen eigenen integrierten DNS-Client auf. Dieser lässt sich bei den Chromium-basierten Programmen über Gruppen­richtlinien konfigurieren, so dass sie bei Bedarf einen anderen DNS-Server verwenden als im OS eingestellt.

    Während Chrome DoH aktuell nicht unterstützt, wenn der Rechner Mitglied in einer AD-Domäne ist, bietet Edge eigene Einstellungen in den Gruppen­richtlinien, um die Verwendung von DNS over HTTPS zu steuern und DoH-URI-Templates zu definieren.

    DNS over HTTPS für Microsoft Edge über Gruppenrichtlinien konfigurieren

    DoH-Support im Betriebssystem

    Günstiger wäre es in vielen Fällen indes, wenn man DoH auf der Ebene des Betriebs­systems nutzen könnte. Zu einen profitieren dann alle Anwendungen davon, zum anderen kann man die DNS-Server an einer Stelle konfigurieren.

    Microsoft kommt diesem Ziel nun in den Previews für Windows 10 21H2 und Windows 11 näher. Während man in den ersten vorläufigen Ausführungen dieses Feature noch über Registry-Schlüssel aktivieren musste, steht dafür nun eine entsprechende Option in der App Einstellungen zu Verfügung.

    Option zur Konfiguration von DoH in der App Einstellungen von Windows 11

    Sie findet man unter Netzwerk und Internet, wenn man dort die Einstellungen von Ethernet oder WiFi bearbeitet. Dabei muss man von DHCP auf statisch umstellen und den DNS-Server manuell setzen. Bei dieser Gelegenheit erlaubt Windows die Auswahl einer Option für die DNS-Verschlüsselung, wenn der Server dies unterstützt.

    DNS-Server mit DoH-Unterstützung eintragen

    Das Betriebs­system findet das zurzeit nicht selbständig heraus. Daher muss man dem OS schon vorab beibringen, welche DNS-Server für eine solche Verbindung in Frage kommen und unter welcher URL sie zu erreichen sind.

    Einige davon hat Microsoft bereits im System vorgegebenen, sie lassen sich mit

    Get-DnsClientDohServerAddress

    abfragen.

    Liste der vorgegebenen DoH-fähigen DNS-Server und der URLs, unter der sie zu erreichen sind.

    Um eigene DoH-Dienste hinzuzufügen, greift man zum Cmdlet

    Add-DnsClientDohServerAddress -ServerAddress '<IP-Adresse>' `
    -DohTemplate '<DoH-Vorlage>'

    Bestehende Einträge kann man mit Set-DnsClientDohServerAddress ändern. Darüber hinaus erlaubt netsh.exe mit neuen Parametern die Pflege der DNS-Server für DoH.

    Neue Parameter für netsh.exe zur Konfiguration von DoH

    In Zukunft soll diese manuelle Anpassung der DNS-Konfiguration entfallen, wenn Clients eigenständig erfragen können, ob ein Server DNS over HTTPS unterstützt. Microsoft reicht dafür einen ent­sprechenden Vorschlag bei der IETF zur Standar­disierung ein.

    DoH über Gruppenrichtlinien steuern

    Für die zentrale Verwaltung von DoH enthalten die aktuellen Previews von Windows 10 und 11 bereits eine Einstellung für die Gruppen­richtlinien. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => DNS-Client und heißt Namens­auflösung von DNS über HTTPS (DoH) konfigurieren.

    Gruppenrichtlinie zur zentralen Konfiguration von DNS over HTTPS

    Hier kann man entweder DoH für alle Anfragen erzwingen oder es generell unterbinden. In den meisten Fällen dürfte die Option DoH zulassen am besten geeignet sein, weil sie einen Rückfall auf eine unver­schlüsselte Anfrage erlaubt, wenn der Server kein DoH unterstützt.

    Fazit

    Nach einer längeren Vorlaufzeit macht Microsoft nun Ernst mit der Unterstützung von DNS over HTTPS im Betriebs­system. Es steht damit allen Anwendungen zur Verfügung und damit sollte sich mittelfristig auch die separate DoH-Unterstützung der Web-Browser erübrigen. In verwalteten Umgebungen lässt sich dieses Feature auch über Gruppen­richtlinien steuern.

    Den größten Nutzen bietet DoH sicherlich für Benutzer, die außerhalb des gesicherten Firmen-LANs arbeiten, etwa wenn sie sich mit einem öffentlichen WiFi verbinden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Super, vielen dank für diese nützliche Information. DoH mit dem eigenen DNS Server umzusetzen ist ja relativ einfach. Den in Windows reinzubekommen aber nicht ;-) Mein Pihole mit dnsdist läuft auf einer LinuxVM und ist so nun auch unterwegs in Windows prima nutzbar. Top!