Windows 10: DoH bei Build 20236 aktivieren

Seit Windows 10 Build 19628.1 ist es möglich, DNS-Abfragen mit DNS over HTTPS über IPv4 und/oder IPv6 zu verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.

Gegenüber der ersten Implementierung ist die Konfiguration in neueren Builds deutlich einfacher geworden. Anpassungen der Registry sind dafür nicht mehr nötig. Stattdessen bietet Windows 10 nun unter Einstellungen – Netzwerk und Internet entsprechende Konfigurationsoptionen.

  • Ethernet: Einstellungen > Netzwerk und Internet > Status: Auf Eigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren
  • WiFi: Einstellungen > Netzwerk und Internet > WLAN: Auf Adaptereigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren

Hinweis: Die Verschlüsselungsoptionen sind nicht sichtbar, wenn die Eigenschaftsseite des einzelnen Netzwerks aufgerufen wird.

Voreingestellte DoH-Server

Standardmäßig unterstützt Windows 10 DoH-DNS-Server von Cloudflare, Google und Quad9:

  • Cloudflare: DNS1: 1.1.1.1; DNS2: 1.0.0.1 (IPv4); 2606:4700:4700::1111, 2606:4700:4700::1001 (IPv6)
  • Google: DNS1: 8.8.8.8; DNS2: 8.8.4.4 (IPv4); 2001:4860:4860::8888, 2001:4860:4860::8844 (IPv6)
  • Quad9: DNS1: 9.9.9.9; DNS2: 149.112.112.112 (IPv4); 2620:fe::fe, 2620:fe::fe:9 (IPv6)

Die Liste der von Windows 10 unterstützten DNS-DoH-Server findet sich in der Registry unter:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers

Empfehlenswerte DoH-Server mit Tracking-Schutz und No-Logging-Policy

Da auch ein DoH-DNS-Server grundsätzlich Kenntnis davon hat, welche Webseiten Nutzer aufrufen, sollte man aus Gründen des Datenschutzes in Betracht ziehen, DoH-DNS-Server auszuwählen, die nicht zu einer Werbefirma gehören und DNS-Anfragen nicht aufzeichnen. Empfehlenswerte DNS-Server finden sich beispielsweise hier. Diese bieten zum Teil auch einen Ad- und Tracking-Schutz und filtern bekannte Malware- und Phishing-Sites.

Allerdings funktionieren diese Varianten nicht standardmäßig. Es ist zwar möglich, die IP-Adressen dieser Server einzutragen, die Optionen für Verschlüsselung (Nur verschlüsselt und Verschlüsselt bevorzugt, unverschlüsselt zulässig) stehen jedoch zunächst nicht zur Verfügung.

Damit diese Server auch mit Verschlüsselung genutzt werden können, muss jede einzelne IP-Adresse und die DoH-URI-Vorlage dem System hinzugefügt werden. Das geschieht mit folgendem Befehl in der Eingabeaufforderung (Administrator):

  • netsh dns add encryption server="DoH-DNS-Server-IP-Adresse" dohtemplate="DoH-URI-Vorlage"

Für BlahDNS lauten diese wie folgt (IPv4):

  • netsh dns add encryption server=159.69.198.101 dohtemplate=https://doh-de.blahdns.com/dns-query
  • netsh dns add encryption server=95.216.212.177 dohtemplate=https://doh-fi.blahdns.com/dns-query

Für die DNS-Server von dnsforge.de gibt man folgendes ein:

  • netsh dns add encryption server=176.9.93.198 dohtemplate=https://dnsforge.de/dns-query
  • netsh dns add encryption server=176.9.1.117 dohtemplate=https://dnsforge.de/dns-query

Anschließend stehen die Optionen für Verschlüsselung auch für die hinzugefügten DNS-Server parat.

Ob die Konfiguration gelungen ist, lässt sich mit folgendem Kommando überprüfen:

  • netsh dns show encryption server=“DoH-DNS-Server-IP-Adresse“

Nun nutzt Windows 10 den konfigurierten DoH-DNS-Server. Entsprechend werden alle DNS-Abfragen über den Port 443 verschlüsselt. Über den klassischen DNS-Port 53 sieht man nun keinen Datenverkehr mehr. Das lässt sich mit folgenden Kommandos überprüfen:

  • pktmon filter remove
  • pktmon filter add -p 53
  • pktmon start --etw -m real-time

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago