Windows 10
 Computer >> コンピューター >  >> システム >> Windows 10

Windows10でDNSoverHTTPS(DoH)を有効にする

DNS over HTTPS DoH )サポートはWindows 10 2004ビルド(2020年5月の更新)に表示されました。これで、Windows 10は、組み込みのDoHクライアントを使用してHTTPSプロトコルを介して名前を解決できます。この記事では、DNS over HTTPSプロトコルの用途、最新のWindows10ビルドでDNSoverHTTPSプロトコルを有効にして使用する方法について説明します。

コンピューターがDNSサーバーに接続して名前を解決すると、クリアテキストでインターネット経由でDNS要求/応答を受信します。攻撃者は、man-in-the-middleタイプの攻撃を使用して、トラフィックを傍受したり、アクセスしたリソースを検出したり、DNSトラフィックを操作したりする可能性があります。 DNS over HTTPSは、すべてのDNSクエリを暗号化することにより、ユーザーデータのプライバシーを保護します。 DoHプロトコルは、DNSクエリをHTTPSトラフィックにカプセル化し、DNSサーバーに送信します(DoHをサポートする特別なDNSサーバーを使用する必要があります)。

Windows 10 2004には、DNS-over-HTTPSを有効にするためのGPOパラメーターまたはグラフィックインターフェイスのオプションがまだありません。現在、DoHを有効にできるのは、レジストリを介した最新のWindows10ビルドのみです。

  1. regedit.exeを実行します;
  2. レジストリキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parametersに移動します
  3. EnableAutoDohという名前の新しいDWORDパラメータを作成します と値2;
    Windows10でDNSoverHTTPS(DoH)を有効にする
    New-ItemPropertyコマンドレットを使用してこのレジストリパラメーターを作成することもできます:
    $EnableDNSoverHTTPSKey = 'HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters'
    $EnableDNSoverHTTPSParameter = 'EnableAutoDoh'
    New-ItemProperty -Path $EnableDNSoverHTTPSKey -Name $EnableDNSoverHTTPSParameter -Value 2 -PropertyType DWord –Force
  4. 次に、DNSクライアントサービスを再起動します。これを行うには、dnscaseサービスを通常どおり再起動できないため、コンピューターを再起動します(Restart-Service -Name Dnscache –force コマンドは次のエラーを返します。コレクションが変更されました。列挙操作が実行されない場合があります

次に、ネットワーク接続のDNS設定を変更する必要があります。 DNSoverHTTPSをサポートするDNSサーバーを指定する必要があります。すべてのDNSサーバーがまだDoHをサポートしているわけではありません。次の表は、DNSoverHTTPSをサポートするパブリックDNSサーバーのリストを示しています。

プロバイダー DNSoverHTTPをサポートするDNSサーバーのIPアドレス
Cloudflare 1.1.1.1、1.0.0.1
Google 8.8.8.8、8.8.4.4
Quad9 9.9.9.9、149.112.112.112

ネットワーク接続ウィンドウを開きます([コントロールパネル]->[ネットワークとインターネット]->[ネットワークと共有センター]またはncpa.cpl )。次に、現在のDNSサーバーのIPアドレスを、ネットワークアダプタのプロパティでDoHをサポートするDNSサーバーのアドレスに変更します。

Windows10でDNSoverHTTPS(DoH)を有効にする

PowerShellを使用してネットワークアダプター設定でDNSサーバーアドレスを変更できます(PowerShellを使用したネットワーク構成に関する記事を参照):

$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8', '1.1.1.1'

次に、DNSクライアントはDNS名の解決に標準のUDP / TCPポート53ではなくHTTPS(443)プロトコルを使用します。

ネットワークトラフィックをキャプチャするツールであるPktMon.exe(前に説明しました)を使用すると、53ポートを介してコンピューターからDNS要求が送信されないようにすることができます。

現在のすべてのパケットモニターフィルターを削除します:

pktmon filter remove

デフォルトのDNSポート(53)用の新しいフィルターを作成します:

pktmon filter add -p 53

リアルタイムのトラフィック監視を開始します(トラフィックはコンソールに表示されます):

pktmon start --etw -p 0 -l real-time

DNS over HTTPSを正しく構成した場合、ポート53にはトラフィックがありません(下のスクリーンショットは、DoHを有効または無効にした場合のコンソール出力を示しています)。

Windows10でDNSoverHTTPS(DoH)を有効にする

次のオンラインサービスを使用して、DNS over HTTPSがコンピューターで機能しているかどうかを確認することもできます(DNSSECチェック):https://www.cloudflare.com/ssl/encrypted-sni/

Windows10でDNSoverHTTPS(DoH)を有効にする

昨年、DNS over HTTPSは、一般的なすべてのブラウザ(Google Chrome、Mozilla Firefox、Microsoft Edge、Opera)に実装されました。それぞれでDoHサポートを有効にできます。したがって、ブラウザからのすべてのDNSクエリは暗号化されます(他のアプリのDNSトラフィックは引き続きプレーンテキストとして送信されます)。

DNSoverHTTPSおよびDNSoverTLSは、内部ネットワークからの外部リソースへのアクセスを制限することが難しくなるため、企業ネットワーク管理者にとって多くの問題を引き起こします。


  1. DNS サーバーが応答しない – Windows 10 でエラーを修正する方法

    最近では、大多数の専門家がインターネットに依存しているといっても過言ではありません。 そのため、アクセス先の Web サイトから貴重な情報を集めようとしているときに、インターネットへのアクセスが拒否されると、かなりの試練になる可能性があります。特に、緊急に必要な仕事を完了しなければならないというプレッシャーにさらされている場合はなおさらです。 インターネットへのアクセスが拒否される特に望ましくない原因の 1 つは、「DNS サーバーが応答していません」というエラーです。トロールが橋の下に座って「あなたは通れません!」と言う古い寓話や、橋を渡りたい人をむさぼり食うようなものです。 こ

  2. Windows 11 で DNS サーバーを変更する方法

    プライバシーを強化したい場合は、Windows 11 PC/ラップトップで DNS 設定を構成する必要があります。 Web ページが開かれている場合でも、アプリがバックグラウンドでサーバーに接続しようとしている場合でも、コンピューター上のすべてのインターネット通信を保護します。この分野に慣れていない場合は、この詳細な記事を読んで、Windows 11 で DNS サーバーを変更する方法を確認してください。 関連項目:Windows 11 でボリューム ラベルを変更する方法 DNS とは何ですか? なぜ DNS を変更する必要があるのですか? 私たちの多くは、インターネットに接続するため