DNS-over-HTTPS als Sicherheitsfeature
Sicherer Zugriff
Fortsetzung des Artikels von Teil 1
Windows Server 2022, Windows 11
Wer also unter Windows und nicht nur im Browser mit DoH arbeiten will, muss dazu eine der neuen Betriebssystemversionen von Windows 11 oder den Windows Server in der Version 2022 verwenden. Diese Windows-Versionen sind standardmäßig mit einer Liste bekannter Server versehen, die DoH unterstützen. Die Liste lässt sich mit einem PowerShell-Aufruf der Form „Get-DNSClientDohServerAddress“ oder auch in einem Terminalfenster mittels „netsh dns show encryption“ auf dem Bildschirm anzeigen. Wer diese Liste der DoH unterstützenden Server um weitere Adressen ergänzen will, kann dies mit dem folgenden PowerShell-Aufruf tun:
Add-DnsClientDohServerAddress -ServerAddress ‚<resolver-IP-address>‘ -DohTemplate ‚<resolver-DoH-template>‘
Auf GitHub steht zudem eine umfangreiche Liste solcher Server bereit. Allerdings mussten wir bei stichprobenartigen Versuchen feststellen, dass Windows 11 und Windows Server 2022 nicht mit allen diesen Adressen problemlos zusammenarbeiten, sodass es sich empfiehlt, eher doch auf die von Windows mitgelieferten Adressen zurückzugreifen.
Deren Einsatz ist durch die Integration in die Windows-Einstellungen sowohl bei Windows 11 als auch beim Windows Server 2022 recht einfach. Wir beschreiben hier den Weg auf dem Windows Server 2022. Bei Windows läuft er jedoch bis auf das etwas andere Aussehen der Menüs auf die gleiche Art und Weise ab:
- Wechsel in die Windows-Einstellungen,
- dort wählt man dann den Abschnitt „Netzwerk & Internet“,
- hier „Ethernet“ oder bei einer drahtlosen Verbindung „WLAN“ auswählen. Unter Windows in den Eigenschaften der gewählten Netzschnittstelle findet sich dann die DNS-Einstellungen, die man von der standardmäßigen Einstellung „Automatic (DHCP)“ durch Auswahl des Schalters „Bearbeiten“ auf „Manuell“ setzen muss.
- Nach der Auswahl von IPv4 oder IPV6 ist es anschließend möglich, die IP-Adresse eines der DoH unterstützenden Server einzugeben.
Bevor die IP-Adresse des Servers eingegeben ist, lässt sich die Dropdown-Liste
„Bevorzugte DNS-Verschlüsselung“ noch nicht auswählen. Sie wird vom Windows-System erst dann aktiviert, wenn die IP-Adresse von einem der Server eingegeben ist, der sich auf der Liste im System befindet. Danach stehen die folgenden Auswahlmöglichkeiten zur Verfügung:
- Nur unverschlüsselt: Der DNS-Verkehr mit dem ausgewählten DNS-Server ist unverschlüsselt. Der DNS-Client des Betriebssystems verwendet in der Folge die normalen Nur-Text-DNS-Abfragen.
- Nur verschlüsselt (DNS über HTTPS): Sämtliche DNS-Abfragen werden danach nur noch mittels HTTPS übergeben. Damit ist dann auch ein guter Schutz für diese Abfragen gegeben. Nutzer sollten sich aber darüber im Klaren sein, dass das System auf diese Art keine DNS-Auflösungen durchführen kann, wenn der DNS-Server DoH-Abfragen nicht (oder nicht mehr) unterstützt.
- Verschlüsselt bevorzugt, unverschlüsselt zulässig: Wer auf „Nummer sicher“ gehen will, sollte auf diese Einstellmöglichkeit zurückgreifen. Der DNS-Client versucht dabei DoH zu verwenden und wird wieder auf eine unverschlüsselte DNS-Verbindung zurückwechseln, falls DoH nicht funktioniert. Leider erhalten Administratoren dabei keinen Hinweis vom DNS-Client oder dem Betriebssystem, wenn dieser „Rückschritt“ auf die unverschlüsselte Verbindung stattfindet.
Administratoren werden in Regel in diesem Menü auch noch einen alternativen DNS-Server konfigurieren und dort der Einstellung „Verschlüsselt bevorzugt, unverschlüsselt zulässig“ auf jedem Fall den Vorzug geben. Nach Auswahl dieser Einstellungen kann man diese mit „Speichern“ übernehmen. Auch wenn Microsoft schon viele Einstellungen des Windows Servers bei der aktuellen Version 2022 in das neue „Admin Center“ übernommen hat, ist die DoH-Einstellung für den DNS-Client auf diese Art nicht möglich. Auch das kommandozeilenorientierte Werkzeug „sconfig“ bietet noch keine Möglichkeit dazu.
Sowohl die Einstellungen für die lokalen als auch die für Domänen-Gruppenrichtlinien des Windows Servers 2022 enthalten eine Richtlinie mit der Bezeichnung „Namensauflösung von DNS über HTTPS (DoH) konfigurieren“, und zwar unter Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client.
Wer diese Richtlinie aktiviert, kann dann zwischen den folgenden Einstellungen für DoH auswählen:
- DoH erforderlich. Diese Einstellung erfordert, dass DNS-Abfragen mit DoH ausgeführt werden. Wenn konfigurierte Server dies nicht unterstützen, tritt bei der Namensauflösung ein Fehler auf.
- DoH verbieten: Verhindert, dass der DNS-Client DoH verwendet.
- DoH zulassen: Unterstützen die ausgewählten DNS-Server DoH, dann laufen die Abfragen auf diese Weise. Wenn die Server DoH nicht unterstützen, verwendet das System unverschlüsselte Abfragen.
Wenn Administratoren diese Richtlinieneinstellung deaktivieren oder sie nicht konfigurieren, nutzt das Betriebssystem die lokal konfigurierten Einstellungen.
DNS-over-HTTPS und die Browser
Viele der Gefahren, die bei Angriffen mittels Manipulation der DNS-Abfrage geschehen, treten dann auf, wenn man im Web per Browser unterwegs ist. Folglich waren die Anbieter der diversen Browser-Modelle auch schon sehr früh bestrebt, bei ihrer Software auf DoH statt der üblichen unverschlüsselten Auflösung bei DNS zu setzen. Mozillas Firefox beherrschte bereits seit der Version 60 diese Möglichkeit.
Auch Chrome von Google bietet bei den Einstellung im Bereich „Datenschutz und Sicherheit“ die Möglichkeit, den Eintrag „Sicheres DNS verwenden“ auszuwählen.
- Sicherer Zugriff
- Windows Server 2022, Windows 11
Lesen Sie mehr zum Thema
