Win11最新 DNS-over-HTTPS（DoH）功能启用教程

　　6 月 29 日凌晨，微软面向 Dev 开发频道发布了第一个 Windows 11 Insider Preview 版本，即 Build 22000.51! 微软表示，随着我们在未来几个月内完成产品的定型，我们将与你一起验证这一体验。在这个早期预览中，你将可以尝试上周展示的许多新功能，但不是全部。

　　微软在 Windows 11 中添加了一项名为DNS-over-HTTPS的隐私功能，允许用户执行加密的 DNS 查找以绕过审查和互联网活动。

　　连接到 Internet 上的网站或其他主机时，您的计算机必须首先向域名系统 (DNS) 服务器查询与主机名关联的 IP 地址。

　　DNS-over-HTTPS(DoH) 允许您的计算机通过加密的 HTTPS 连接执行这些 DNS 查找，而不是通过 ISP 和政府可以窥探的普通纯文本 DNS 查找。

　　由于一些政府和 ISP 通过监控用户的 DNS 流量来阻止与站点的连接，DoH将允许用户绕过审查，防止欺骗攻击，并增加隐私，因为他们的 DNS 请求不容易被监控。

　　基于 Chromium 的浏览器，例如 Google Chrome 和 Microsoft Edge，以及 Mozilla Firefox，已经添加了对DoH的支持。尽管如此，它只在浏览器中使用，而不是由计算机上运行的其他应用程序使用。

　　这就是为什么操作系统支持该功能很有帮助，因为设备上的所有 DNS 查找都将被加密。

　　Windows 11 获得DNS-over-HTTPS

　　微软首先发布了DNS-over-HTTPS以使用 Windows Insiders 在 Windows 10 预览版 20185 中进行测试，但后来在几个版本中禁用了它。

　　在 Windows 11 中，微软再次启用了DoH功能，用户可以通过转到设置>网络和 Internet>以太网/无线>编辑 DNS 服务器分配来开始测试它。

　　如果设备当前配置为使用已知支持DNS-over-HTTPS的 DNS 服务器，您将看到一个新的“首选 DNS 加密”，您可以在其中启用DoH，如下所示。

　　首选 DNS 加密选项提供以下选项：

　　仅未加密 - 使用标准的未加密 DNS。仅加密(基于 HTTPS 的 DNS) - 仅使用DoH服务器。首选加密，仅未加密 - 尝试使用DoH服务器，但如果不可用，则回退到标准的未加密 DNS。目前，Microsoft 声明以下 DNS 服务器已知支持DoH，并且可以由 Windows 11DNS-over-HTTPS功能自动使用。

　　Cloudflare：1.1.1.1 和 1.0.0.1 DNS 服务器谷歌：8.8.8.8 和 8.8.8.4 DNS 服务器Quad9：9.9.9.9 和 149.112.112.112 DNS 服务器

　　要查看已在 Windows 11 中配置的DNS-over-HTTPS定义，您可以使用以下命令：

　　Using netsh:netsh dns show encryptionUsingPowerShell:Get-DnsClientDohServerAddress

　　Microsoft 还允许管理员使用以下命令创建自己的DoH服务器定义：

　　Using netsh:netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=noUsingPowerShell:Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

　　微软表示，如果可以自动确定配置的 DNS 服务器的DoH服务器会更好，但这会导致隐私风险。

　　“如果我们允许DoH服务器通过解析其域名来确定其 IP 地址，对于用户和管理员来说会更容易。但是，我们选择不允许这样做。支持这意味着在我们建立DoH连接之前，我们必须首先发送一个纯文本 DNS 查询来引导它，”Windows 核心网络团队的项目经理 Tommy Jensen 在一篇新的博客文章中说。

　　“这意味着网络路径上的节点可能会恶意修改或阻止DoH服务器名称查询。目前，我们可以避免这种情况的唯一方法是让 Windows 提前知道 IP 地址和DoH模板之间的映射。”

　　未来，微软希望通过使用指定解析器发现 (DDR) 和网络指定解析器发现 (DNR)的 DNS 服务器了解新的DoH服务器配置，他们已向 IETF ADD WG 提出了这些建议。

　　通过组策略管理DoH

　　微软还增加了通过组策略管理 Windows 11DNS-over-HTTPS设置的功能。

　　在 Windows 11 中，Microsoft在“计算机配置”>“管理模板”>“网络”>“DNS 客户端”下引入了“通过 HTTPS (DoH) 名称解析配置 DNS”策略。