Microsoft тестирует функцию автоматического обнаружения зашифрованных DNS в Windows 11

Без поддержки DNR пользователям приходится вручную вводить информацию о зашифрованных DNS-серверах в своей локальной сети в настройках сети.

DNR автоматически настраивает устройства для доступа к зашифрованным DNS-резольверам и использования зашифрованных протоколов DNS, таких как DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) и DNS-over-QUIC (DoQ).

Когда устройство с включенной функцией DNR на стороне клиента подключается к новой сети, то у локального DHCP-сервера запрашивается IP-адрес и специфические для DNR параметры.

В ответ сервер, работающий с DNR на стороне сервера, предоставляет зашифрованные данные DNS, включая IP-адрес сервера, поддерживаемые протоколы, номера портов и данные аутентификации, что позволяет клиенту автоматически установить зашифрованный DNS-туннель, используя полученную информацию.

Руководители программы предварительной оценки Windows Insider Аманда Ланговски (Amanda Langowski) и Брэндон Леблан (Brandon LeBlanc) из Microsoft отметили:

До сегодняшнего дня участникам программы предварительной оценки Windows Insider приходилось узнавать IP-адрес нужного им зашифрованного DNS-сервера и вручную вводить его для настройки клиентского зашифрованного DNS на своем устройстве.

DNR позволит пользователям Windows Insider использовать шифрованные протоколы DNS, такие как DNS over HTTPS (DoH) и DNS over TLS (DoT), на стороне клиента без необходимости ручной настройки.

В настоящее время поддержка DNR на стороне клиента распространяется на инсайдеров, использующих Windows Insider Preview Build 25982 или выше. В версиях Windows, не входящих в программу Insider, эта функция пока недоступна. Готовые ISO-образы Windows 11 Insider Preview build 25982.1000 (x64) на русском (RU-RU) и английском (EN-US) языках, включая гибридный ISO-образ для обхода ограничений установки с поддержкой обновления поверх и сохранением данных, вы можете скачать здесь.

После установки совместимой сборки тестовой сборки Insider Preview необходимо создать новый ключ реестра EnableDnr:

• Откройте Редактор реестра (regedit) на вашем устройстве Windows.
• Перейдите к разделу

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache.

• Нажмите на вкладку "Правка" -> "Создать" -> "Параметр DWORD (32 бита)" (в верхней левой части окна).
• Переименуйте этот новый ключ реестра с Новый параметр #1 на EnableDnr.
• Дважды щёлкните на ключе реестра EnableDnr.
• Во всплывающем окне убедитесь, что имя значения — EnableDnr, и установите значение данных в 1.
• Нажмите "ОК".

В качестве альтернативы для активации DNR на устройстве можно выполнить в командной строке с правами администратора следующую команду:

reg add HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters /v EnableDnr /t REG_DWORD /d 1

После внесения изменений необходимо перезагрузить устройство, чтобы обновленные настройки вступили в силу. Чтобы проверить работу DNR, необходимо подключиться к сети, в которой на сервере DHCPv4 или DHCPv6 включена функция DNR.

На данный момент реализация Microsoft DNR на стороне клиента поддерживает только следующие режимы конфигурации (IPv6 RA Encrypted DNS еще не поддерживается):

• DHCPv4 без поддержки режима только ADN.
• DHCPv6 не поддерживает режим только ADN и принимает только один экземпляр OPTION_V6_DNR.

Чтобы отключить DNR на стороне клиента, выполните следующую команду в командной строке с правами администратора и перезагрузите систему:

reg add HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters /v EnableDnr /t REG_DWORD /d 0

В новой сборке Windows 11 Build 25982 на канале Canary Microsoft также позволяет администраторам требовать шифрования SMB-клиента для всех исходящих соединений. Эта мера позволит защититься от атак прослушивания и перехвата.

Кроме того, компания добавила поддержку клонирования блоков файловой системы ReFS в механизм копирования Windows для повышения производительности томов ReFS при копировании больших файлов.