Windows 10: DoH bei Build 20236 aktivieren

Seit Windows 10 Build 19628.1 ist es möglich, DNS-Abfragen mit DNS over HTTPS über IPv4 und/oder IPv6 zu verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.

Gegenüber der ersten Implementierung ist die Konfiguration in neueren Builds deutlich einfacher geworden. Anpassungen der Registry sind dafür nicht mehr nötig. Stattdessen bietet Windows 10 nun unter Einstellungen – Netzwerk und Internet entsprechende Konfigurationsoptionen.

  • Ethernet: Einstellungen > Netzwerk und Internet > Status: Auf Eigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren
  • WiFi: Einstellungen > Netzwerk und Internet > WLAN: Auf Adaptereigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren

Hinweis: Die Verschlüsselungsoptionen sind nicht sichtbar, wenn die Eigenschaftsseite des einzelnen Netzwerks aufgerufen wird.

Voreingestellte DoH-Server

Standardmäßig unterstützt Windows 10 DoH-DNS-Server von Cloudflare, Google und Quad9:

  • Cloudflare: DNS1: 1.1.1.1; DNS2: 1.0.0.1 (IPv4); 2606:4700:4700::1111, 2606:4700:4700::1001 (IPv6)
  • Google: DNS1: 8.8.8.8; DNS2: 8.8.4.4 (IPv4); 2001:4860:4860::8888, 2001:4860:4860::8844 (IPv6)
  • Quad9: DNS1: 9.9.9.9; DNS2: 149.112.112.112 (IPv4); 2620:fe::fe, 2620:fe::fe:9 (IPv6)

Die Liste der von Windows 10 unterstützten DNS-DoH-Server findet sich in der Registry unter:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers

Empfehlenswerte DoH-Server mit Tracking-Schutz und No-Logging-Policy

Da auch ein DoH-DNS-Server grundsätzlich Kenntnis davon hat, welche Webseiten Nutzer aufrufen, sollte man aus Gründen des Datenschutzes in Betracht ziehen, DoH-DNS-Server auszuwählen, die nicht zu einer Werbefirma gehören und DNS-Anfragen nicht aufzeichnen. Empfehlenswerte DNS-Server finden sich beispielsweise hier. Diese bieten zum Teil auch einen Ad- und Tracking-Schutz und filtern bekannte Malware- und Phishing-Sites.

Allerdings funktionieren diese Varianten nicht standardmäßig. Es ist zwar möglich, die IP-Adressen dieser Server einzutragen, die Optionen für Verschlüsselung (Nur verschlüsselt und Verschlüsselt bevorzugt, unverschlüsselt zulässig) stehen jedoch zunächst nicht zur Verfügung.

Damit diese Server auch mit Verschlüsselung genutzt werden können, muss jede einzelne IP-Adresse und die DoH-URI-Vorlage dem System hinzugefügt werden. Das geschieht mit folgendem Befehl in der Eingabeaufforderung (Administrator):

  • netsh dns add encryption server="DoH-DNS-Server-IP-Adresse" dohtemplate="DoH-URI-Vorlage"

Für BlahDNS lauten diese wie folgt (IPv4):

  • netsh dns add encryption server=159.69.198.101 dohtemplate=https://doh-de.blahdns.com/dns-query
  • netsh dns add encryption server=95.216.212.177 dohtemplate=https://doh-fi.blahdns.com/dns-query

Für die DNS-Server von dnsforge.de gibt man folgendes ein:

  • netsh dns add encryption server=176.9.93.198 dohtemplate=https://dnsforge.de/dns-query
  • netsh dns add encryption server=176.9.1.117 dohtemplate=https://dnsforge.de/dns-query

Anschließend stehen die Optionen für Verschlüsselung auch für die hinzugefügten DNS-Server parat.

Ob die Konfiguration gelungen ist, lässt sich mit folgendem Kommando überprüfen:

  • netsh dns show encryption server=“DoH-DNS-Server-IP-Adresse“

Nun nutzt Windows 10 den konfigurierten DoH-DNS-Server. Entsprechend werden alle DNS-Abfragen über den Port 443 verschlüsselt. Über den klassischen DNS-Port 53 sieht man nun keinen Datenverkehr mehr. Das lässt sich mit folgenden Kommandos überprüfen:

  • pktmon filter remove
  • pktmon filter add -p 53
  • pktmon start --etw -m real-time

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

4 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

4 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

4 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

4 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

4 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

4 Tagen ago