Windows 10: DoH bei Build 20236 aktivieren

Seit Windows 10 Build 19628.1 ist es möglich, DNS-Abfragen mit DNS over HTTPS über IPv4 und/oder IPv6 zu verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.

Gegenüber der ersten Implementierung ist die Konfiguration in neueren Builds deutlich einfacher geworden. Anpassungen der Registry sind dafür nicht mehr nötig. Stattdessen bietet Windows 10 nun unter Einstellungen – Netzwerk und Internet entsprechende Konfigurationsoptionen.

• Ethernet: Einstellungen > Netzwerk und Internet > Status: Auf Eigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren
• WiFi: Einstellungen > Netzwerk und Internet > WLAN: Auf Adaptereigenschaften klicken und DNS-Server unter DNS-Einstellungen konfigurieren

Hinweis: Die Verschlüsselungsoptionen sind nicht sichtbar, wenn die Eigenschaftsseite des einzelnen Netzwerks aufgerufen wird.

Voreingestellte DoH-Server

Standardmäßig unterstützt Windows 10 DoH-DNS-Server von Cloudflare, Google und Quad9:

• Cloudflare: DNS1: 1.1.1.1; DNS2: 1.0.0.1 (IPv4); 2606:4700:4700::1111, 2606:4700:4700::1001 (IPv6)
• Google: DNS1: 8.8.8.8; DNS2: 8.8.4.4 (IPv4); 2001:4860:4860::8888, 2001:4860:4860::8844 (IPv6)
• Quad9: DNS1: 9.9.9.9; DNS2: 149.112.112.112 (IPv4); 2620:fe::fe, 2620:fe::fe:9 (IPv6)

Die Liste der von Windows 10 unterstützten DNS-DoH-Server findet sich in der Registry unter:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DohWellKnownServers

Empfehlenswerte DoH-Server mit Tracking-Schutz und No-Logging-Policy

Da auch ein DoH-DNS-Server grundsätzlich Kenntnis davon hat, welche Webseiten Nutzer aufrufen, sollte man aus Gründen des Datenschutzes in Betracht ziehen, DoH-DNS-Server auszuwählen, die nicht zu einer Werbefirma gehören und DNS-Anfragen nicht aufzeichnen. Empfehlenswerte DNS-Server finden sich beispielsweise hier. Diese bieten zum Teil auch einen Ad- und Tracking-Schutz und filtern bekannte Malware- und Phishing-Sites.

Allerdings funktionieren diese Varianten nicht standardmäßig. Es ist zwar möglich, die IP-Adressen dieser Server einzutragen, die Optionen für Verschlüsselung (Nur verschlüsselt und Verschlüsselt bevorzugt, unverschlüsselt zulässig) stehen jedoch zunächst nicht zur Verfügung.

Damit diese Server auch mit Verschlüsselung genutzt werden können, muss jede einzelne IP-Adresse und die DoH-URI-Vorlage dem System hinzugefügt werden. Das geschieht mit folgendem Befehl in der Eingabeaufforderung (Administrator):

• netsh dns add encryption server="DoH-DNS-Server-IP-Adresse" dohtemplate="DoH-URI-Vorlage"

Für BlahDNS lauten diese wie folgt (IPv4):

• netsh dns add encryption server=159.69.198.101 dohtemplate=https://doh-de.blahdns.com/dns-query
• netsh dns add encryption server=95.216.212.177 dohtemplate=https://doh-fi.blahdns.com/dns-query

Für die DNS-Server von dnsforge.de gibt man folgendes ein:

• netsh dns add encryption server=176.9.93.198 dohtemplate=https://dnsforge.de/dns-query
• netsh dns add encryption server=176.9.1.117 dohtemplate=https://dnsforge.de/dns-query

Anschließend stehen die Optionen für Verschlüsselung auch für die hinzugefügten DNS-Server parat.

Ob die Konfiguration gelungen ist, lässt sich mit folgendem Kommando überprüfen:

• netsh dns show encryption server=“DoH-DNS-Server-IP-Adresse“

Nun nutzt Windows 10 den konfigurierten DoH-DNS-Server. Entsprechend werden alle DNS-Abfragen über den Port 443 verschlüsselt. Über den klassischen DNS-Port 53 sieht man nun keinen Datenverkehr mehr. Das lässt sich mit folgenden Kommandos überprüfen:

• pktmon filter remove
• pktmon filter add -p 53
• pktmon start --etw -m real-time