Proteggere il client DNS tramite HTTPS (DoH)
A partire da Windows Server 2022, il client DNS supporta DNS-over-HTTPS (DoH). Quando DoH è abilitato, le query DNS tra il client DNS di Windows Server’e il server DNS passano attraverso una connessione HTTPS sicura anziché in testo normale. La query DNS, passando attraverso una connessione crittografata, è protetta dall'intercettazione da terze parti non attendibili.
Configurare il client DNS per supportare DoH
È possibile configurare il client Windows Server per l'uso di DoH solo se il server DNS primario o secondario selezionato per l'interfaccia di rete è presente nell'elenco dei server DoH noti. È possibile configurare il client DNS per richiedere DoH, effettuare richieste DoH o usare solo query DNS di testo normale tradizionali. Per configurare il client DNS per supportare DoH in Windows Server con Esperienza desktop, seguire questa procedura:
Nel pannello di controllo delle impostazioni di Windows selezionare Rete e Internet.
Nella pagina Rete e Internet selezionare Ethernet.
Nella schermata Ethernet selezionare l'interfaccia di rete che si vuole configurare per DoH.
Nella schermata Rete scorrere verso il basso fino a impostazioni DNS e selezionare il pulsante Modifica.
Nella schermata Modifica impostazioni DNS selezionare Manuale nell'elenco a discesa Impostazioni IP automatiche o manuali. Questa impostazione consente di configurare i server DNS preferiti e DNS alternativi. Se gli indirizzi di questi server sono presenti nell'elenco dei server DoH noti, verrà abilitato l'elenco a discesa crittografia DNS preferita. È possibile scegliere tra le impostazioni seguenti per impostare la crittografia DNS preferita:
Solo crittografato (DNS su HTTPS). Quando si seleziona questa impostazione, tutto il traffico di query DNS passerà attraverso HTTPS. Questa impostazione offre la protezione migliore per il traffico di query DNS. Tuttavia, significa anche che la risoluzione DNS non si verificherà se il server DNS di destinazione non è in grado di supportare le query DoH.
Preferenza crittografato, non crittografato consentito. Quando si seleziona questa impostazione, il client DNS tenterà di usare DoH e quindi, se non è possibile, eseguirà il fallback alle query DNS non crittografate. Questa impostazione offre la migliore compatibilità per i server DNS con supporto DoH, ma non verrà fornita alcuna notifica se le query DNS vengono spostate da DoH a testo normale.
Solo non crittografato. Tutto il traffico di query DNS verso il server DNS specificato non è crittografato. Questa impostazione configura il client DNS per l'uso di query DNS di testo normale tradizionali.
Selezionare Salva per applicare le impostazioni DoH al client DNS.
Se si sta configurando l'indirizzo del server DNS per un client tramite PowerShell usando il cmdlet Set-DNSClientServerAddress, l'impostazione DoH dipenderà dal fatto che l'impostazione di fallback del server si trovi o meno nell'elenco della tabella dei server DoH noti. Attualmente non è possibile configurare le impostazioni DoH per il client DNS in Windows Server 2022 usando Windows Admin Center o sconfig.cmd.
Configurazione di DoH tramite Criteri di gruppo
Le impostazioni di Criteri di gruppo locali e di dominio di Windows Server 2022 includono il criterio Configurare la risoluzione dei nomi DNS su HTTPS (DoH). È possibile usarlo per configurare il client DNS per l'uso di DoH. Questo criterio si trova nel nodo Computer Configuration\Policies\Administrative Templates\Network\DNS Client. Se abilitato, questo criterio può essere configurato con le impostazioni seguenti:
Consenti DoH. Le query verranno eseguite usando DoH se i server DNS specificati supportano il protocollo. Se i server non supportano DoH, verranno eseguite query non crittografate.
Vieta DoH. Impedisce l'uso di DoH con query client DNS.
Richiedi DoH. Richiederà l'esecuzione delle query usando DoH. Se i server DNS configurati non supportano DoH, la risoluzione dei nomi avrà esito negativo.
Non abilitare l'opzione Richiedi DoH per i computer aggiunti a un dominio dal momento che Active Directory Domain Services dipende fortemente da DNS poiché il servizio server DNS di Windows Server non supporta le query DoH. Se è necessario che il traffico di query DNS nella rete di Active Directory Domain Services sia crittografato, prendere in considerazione l'implementazione delle regole di sicurezza delle connessioni basate su IPsec per proteggere il traffico. Per altre informazioni, vedere Protezione delle connessioni IPsec end-to-end tramite IKEv2.
Determinare quali server DoH si trovano nell'elenco dei server noti
Windows Server viene fornito con un elenco di server noti per supportare DoH.
È possibile determinare quali server DNS si trovano in questo elenco usando il cmdlet di PowerShell Get-DNSClientDohServerAddress.
L'elenco predefinito dei server DoH noti è il seguente:
| Proprietario del server | Indirizzi IP del server DNS |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad 9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Aggiungere un nuovo server DoH all'elenco di server noti
È possibile aggiungere nuovi server DoH all'elenco dei server noti usando il cmdlet di PowerShell Add-DnsClientDohServerAddress. Specificare l'URL del modello DoH e se consentire al client di eseguire il fallback a una query non crittografata in caso di esito negativo della query protetta. La sintassi del comando è la seguente:
Add-DnsClientDohServerAddress -ServerAddress '<resolver-IP-address>' -DohTemplate '<resolver-DoH-template>' -AllowFallbackToUdp $False -AutoUpgrade $True
Usare la tabella dei criteri di risoluzione dei nomi con DoH
È possibile usare la tabella dei criteri di risoluzione dei nomi (NRPT) per configurare le query in uno spazio dei nomi DNS specifico per l'uso di un server DNS specifico. Se il server DNS è noto per supportare DoH, le query correlate a tale dominio verranno eseguite usando DoH anziché in modo non crittografato.