Tags: DNS, Verschlüsselung, Gruppenrichtlinien, Web-Browser
DNS over HTTPS (DoH) ist ein Sicherheits-Feature, das die Authentizität des DNS-Servers gewährleistet und die Anfragen an diesen Dienst vor neugierigen Zeitgenossen verbirgt. Microsoft hat den Support für DoH in Windows schon länger angekündigt, in den aktuellen Previews lässt es sich via GUI oder GPO konfigurieren.
Bevorzugte Anwendungsgebiete für DoH sind fremde (drahtlose) Netzwerke, in die sich mobile Anwender eingebucht haben. Dort könnten sie Opfer eines manipulierten DNS-Servers oder eines Man-in-the-Middle-Angriffs werden, wenn DNS-Anfragen im Klartext übertragen werden.
Unterstützt wird diese Technik bis dato vor allem von Cloud-Providern wie Google oder Cloudflare, Windows Server bietet sie bis dato nicht nativ. Für den privaten Einsatz existieren Open-Source-Implementierungen wie DNSProxy oder lambDoH.
Wenn man sich in PowerShell mit DoH spielen möchte, dann eignet sich das JSON-API für einen simplen HTTP-Get-Aufruf:
Invoke-RestMethod -Uri `
"https://dns.google.com/resolve?name=www.google.de&type=A&ct=application/dns+json" |
select {$_.Answer.data}
Eigene DoH-Unterstützung der Web-Browser
Die aktuellen Versionen aller gängigen Browser unterstützen bereits DoH. Bei den meisten wählt man dafür aus einer vorgegebenen Liste einen öffentlichen Service von Anbietern wie Google oder NextDNS aus. Alternativ kann man die IP eines anderen Dienstes eingeben, von dem man weiß, dass er DNS über HTTPS bietet.
Der Browser löst dann die Adressen über seinen eigenen integrierten DNS-Client auf. Dieser lässt sich bei den Chromium-basierten Programmen über Gruppenrichtlinien konfigurieren, so dass sie bei Bedarf einen anderen DNS-Server verwenden als im OS eingestellt.
Während Chrome DoH aktuell nicht unterstützt, wenn der Rechner Mitglied in einer AD-Domäne ist, bietet Edge eigene Einstellungen in den Gruppenrichtlinien, um die Verwendung von DNS over HTTPS zu steuern und DoH-URI-Templates zu definieren.
DoH-Support im Betriebssystem
Günstiger wäre es in vielen Fällen indes, wenn man DoH auf der Ebene des Betriebssystems nutzen könnte. Zu einen profitieren dann alle Anwendungen davon, zum anderen kann man die DNS-Server an einer Stelle konfigurieren.
Microsoft kommt diesem Ziel nun in den Previews für Windows 10 21H2 und Windows 11 näher. Während man in den ersten vorläufigen Ausführungen dieses Feature noch über Registry-Schlüssel aktivieren musste, steht dafür nun eine entsprechende Option in der App Einstellungen zu Verfügung.
Sie findet man unter Netzwerk und Internet, wenn man dort die Einstellungen von Ethernet oder WiFi bearbeitet. Dabei muss man von DHCP auf statisch umstellen und den DNS-Server manuell setzen. Bei dieser Gelegenheit erlaubt Windows die Auswahl einer Option für die DNS-Verschlüsselung, wenn der Server dies unterstützt.
DNS-Server mit DoH-Unterstützung eintragen
Das Betriebssystem findet das zurzeit nicht selbständig heraus. Daher muss man dem OS schon vorab beibringen, welche DNS-Server für eine solche Verbindung in Frage kommen und unter welcher URL sie zu erreichen sind.
Einige davon hat Microsoft bereits im System vorgegebenen, sie lassen sich mit
Get-DnsClientDohServerAddress
abfragen.
Um eigene DoH-Dienste hinzuzufügen, greift man zum Cmdlet
Add-DnsClientDohServerAddress -ServerAddress '<IP-Adresse>' `
-DohTemplate '<DoH-Vorlage>'
Bestehende Einträge kann man mit Set-DnsClientDohServerAddress ändern. Darüber hinaus erlaubt netsh.exe mit neuen Parametern die Pflege der DNS-Server für DoH.
In Zukunft soll diese manuelle Anpassung der DNS-Konfiguration entfallen, wenn Clients eigenständig erfragen können, ob ein Server DNS over HTTPS unterstützt. Microsoft reicht dafür einen entsprechenden Vorschlag bei der IETF zur Standardisierung ein.
DoH über Gruppenrichtlinien steuern
Für die zentrale Verwaltung von DoH enthalten die aktuellen Previews von Windows 10 und 11 bereits eine Einstellung für die Gruppenrichtlinien. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => DNS-Client und heißt Namensauflösung von DNS über HTTPS (DoH) konfigurieren.
Hier kann man entweder DoH für alle Anfragen erzwingen oder es generell unterbinden. In den meisten Fällen dürfte die Option DoH zulassen am besten geeignet sein, weil sie einen Rückfall auf eine unverschlüsselte Anfrage erlaubt, wenn der Server kein DoH unterstützt.
Fazit
Nach einer längeren Vorlaufzeit macht Microsoft nun Ernst mit der Unterstützung von DNS over HTTPS im Betriebssystem. Es steht damit allen Anwendungen zur Verfügung und damit sollte sich mittelfristig auch die separate DoH-Unterstützung der Web-Browser erübrigen. In verwalteten Umgebungen lässt sich dieses Feature auch über Gruppenrichtlinien steuern.
Den größten Nutzen bietet DoH sicherlich für Benutzer, die außerhalb des gesicherten Firmen-LANs arbeiten, etwa wenn sie sich mit einem öffentlichen WiFi verbinden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren
- Willkommen-Seite in Chrome, Edge und Firefox mit Gruppenrichtlinien blockieren
- Web-Browser als Standardprogramm für E-Mails (mailto-Handler) konfigurieren
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Datenschutz: Cloud-Rechtschreibprüfung in Google Chrome und Microsoft Edge deaktivieren
Weitere Links
1 Kommentar
Super, vielen dank für diese nützliche Information. DoH mit dem eigenen DNS Server umzusetzen ist ja relativ einfach. Den in Windows reinzubekommen aber nicht ;-) Mein Pihole mit dnsdist läuft auf einer LinuxVM und ist so nun auch unterwegs in Windows prima nutzbar. Top!