Seit Windows 10 Build 19628.1 ist es möglich, DNS-Abfragen mit DNS over HTTPS über IPv4 und/oder IPv6 zu verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.
Gegenüber der ersten Implementierung ist die Konfiguration in neueren Builds deutlich einfacher geworden. Anpassungen der Registry sind dafür nicht mehr nötig. Stattdessen bietet Windows 10 nun unter Einstellungen – Netzwerk und Internet entsprechende Konfigurationsoptionen.
- Ethernet: Einstellungen > Netzwerk und Internet > Status: Auf Eigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren
- WiFi: Einstellungen > Netzwerk und Internet > WLAN: Auf Adaptereigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren
Hinweis: Die Verschlüsselungsoptionen sind nicht sichtbar, wenn die Eigenschaftsseite des einzelnen Netzwerks aufgerufen wird.
Voreingestellte DoH-Server
Standardmäßig unterstützt Windows 10 DoH-DNS-Server von Cloudflare, Google und Quad9:
- Cloudflare: DNS1: 1.1.1.1; DNS2: 1.0.0.1 (IPv4); 2606:4700:4700::1111, 2606:4700:4700::1001 (IPv6)
- Google: DNS1: 8.8.8.8; DNS2: 8.8.4.4 (IPv4); 2001:4860:4860::8888, 2001:4860:4860::8844 (IPv6)
- Quad9: DNS1: 9.9.9.9; DNS2: 149.112.112.112 (IPv4); 2620:fe::fe, 2620:fe::fe:9 (IPv6)
Die Liste der von Windows 10 unterstützten DNS-DoH-Server findet sich in der Registry unter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers
Empfehlenswerte DoH-Server mit Tracking-Schutz und No-Logging-Policy
Da auch ein DoH-DNS-Server grundsätzlich Kenntnis davon hat, welche Webseiten Nutzer aufrufen, sollte man aus Gründen des Datenschutzes in Betracht ziehen, DoH-DNS-Server auszuwählen, die nicht zu einer Werbefirma gehören und DNS-Anfragen nicht aufzeichnen. Empfehlenswerte DNS-Server finden sich beispielsweise hier. Diese bieten zum Teil auch einen Ad- und Tracking-Schutz und filtern bekannte Malware- und Phishing-Sites.
Allerdings funktionieren diese Varianten nicht standardmäßig. Es ist zwar möglich, die IP-Adressen dieser Server einzutragen, die Optionen für Verschlüsselung (Nur verschlüsselt und Verschlüsselt bevorzugt, unverschlüsselt zulässig) stehen jedoch zunächst nicht zur Verfügung.
Damit diese Server auch mit Verschlüsselung genutzt werden können, muss jede einzelne IP-Adresse und die DoH-URI-Vorlage dem System hinzugefügt werden. Das geschieht mit folgendem Befehl in der Eingabeaufforderung (Administrator):
netsh dns add encryption server="DoH-DNS-Server-IP-Adresse" dohtemplate="DoH-URI-Vorlage"
Für BlahDNS lauten diese wie folgt (IPv4):
netsh dns add encryption server=159.69.198.101 dohtemplate=https://doh-de.blahdns.com/dns-query
netsh dns add encryption server=95.216.212.177 dohtemplate=https://doh-fi.blahdns.com/dns-query
Für die DNS-Server von dnsforge.de gibt man folgendes ein:
netsh dns add encryption server=176.9.93.198 dohtemplate=https://dnsforge.de/dns-query
netsh dns add encryption server=176.9.1.117 dohtemplate=https://dnsforge.de/dns-query
Anschließend stehen die Optionen für Verschlüsselung auch für die hinzugefügten DNS-Server parat.
Ob die Konfiguration gelungen ist, lässt sich mit folgendem Kommando überprüfen:
- netsh dns show encryption server=“DoH-DNS-Server-IP-Adresse“
Nun nutzt Windows 10 den konfigurierten DoH-DNS-Server. Entsprechend werden alle DNS-Abfragen über den Port 443 verschlüsselt. Über den klassischen DNS-Port 53 sieht man nun keinen Datenverkehr mehr. Das lässt sich mit folgenden Kommandos überprüfen:
pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time
Weitere Informationen zum Thema
- Simple DNSCrypt: DNS-Abfragen unter Windows verschlüsseln
- Android 9: DNS-Abfragen verschlüsseln mit DNS-over-TLS (DoT)
- MIUI 10: Private DNS aktivieren
- Privatsphäre schützen: DNS über HTTPS in Firefox aktivieren
- Empfehlenswerte DNS-DoH-Server (privacy-handbuch.de)
- DNS-Spoofing-Test
- DNS-Leak-Test
- Download Windows 10 Insider
Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Neueste Kommentare
Noch keine Kommentare zu Windows 10: DoH bei Build 20236 aktivieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.