Windows 11 带有一项期待已久的隐私功能,称为DNS-over-HTTPS (AKA DoH)。如果配置正确,它是加密通信的绝佳方式,无需寻求复杂的第 3 方解决方案。
什么是基于 HTTPS 的 DNS?DNS over HTTPS (DOH) 是一种较新的子协议,可在通过 HTTPS 协议执行远程域名系统 (DNS) 解析时使用。
此支持隐私功能的目的是通过使用 HTTPS 协议加密 DoH 客户端和基于 DoH 的 DNS 解析器之间的数据来 防止任何类型的 DNS 数据窃听或操纵,从而提高 Windows 11 用户的安全性。
微软实施的这一新安全解决方案直接旨在限制最近影响全球公司的中间人攻击激增。
启用 DNS Over HTTPS 后,您的互联网数据交换将安全地流经加密服务器,该服务器将限制您与 DNS 解析器之间的访问。
我应该使用什么 DOH 溶液?有大量与 Windows 11 兼容的 DOH 解决方案,但我们的建议是坚持使用信誉良好的提供商。以下是占据最大市场份额的三大品牌:
IPv4
谷歌– 8.8.8.8 和 8.8.4.4Cloudflare – 1.1.1.1 和 1.0.0.1Quad9 – 9.9.9.9 和 149.112.112.112IPv6
谷歌– 2001:4860:4860::8888 和 2001:4860:4860::8844Cloudflare – 2606:4700:4700::1111 和 2606:4700:4700::1001Quad9 – 2620:fe::fe 和 2620:fe::fe:9请记住,您的数据交换必须先通过 DoH 服务器才能进行加密。因此,选择您真正信任的 DoH 提供商非常重要。
注意:如果您是 IT 管理员,您还可以选择通过在netsh或Powershell中运行以下命令来创建自己的 DoH 服务器:
Netsh(具有管理员访问权限) netsh dns 添加加密服务器=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=noPowershell(具有管理员权限) Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True
注意:请记住[resolver-IP-address]和[resolver-DoH-template] 只是占位符,您需要将其替换为实际值。
如何在 Windows 11 上为 IPv4 或 IPv6 启用 DoH得益于 Windows 11 提供的本机 DoH 集成,启用此高级隐私功能只需访问“网络和互联网设置”屏幕即可。
为了让您更轻松,我们将引导您完成整个过程。
实际上,您可以采用两种不同的方式在 Windows 11 上启用 DNS over HTTPS:
您可以 从“设置”应用的“网络和互联网”选项卡启用 DNS over HTTPS您可以 通过建立组策略启用 DNS over HTTPS如果您不是那么专业,您可能希望坚持使用“设置”应用程序。
通过 Windows 11 上的“设置”应用启用 DoH重要提示:您必须使用管理员帐户登录才能更改 DNS 服务器地址并在 Windows 11 PC 上启用 DoH。
按Windows 键 + I键打开“设置”菜单。在主设置菜单中,使用左侧的垂直菜单单击或点按 网络和互联网。 接下来,转到右侧的菜单,然后单击与您主动连接的网络关联的属性框。在专用属性菜单中,单击右侧DNS 服务器分配 正 下方的编辑菜单。注意:如果您收到“已设置所有 Wi-Fi 网络的 DNS 设置。下面的设置不会被保存。”消息,点击编辑,点击 更改所有 Wi-Fi 网络的 DNS 设置。 在刚刚出现的下一个提示中,从下拉菜单中选择手动。接下来,请按照以下子指南之一进行操作,具体取决于您是否要为IPv4、IPV6或两者启用 DoH。如果您想为这两种协议启用 DoH,请遵循以下两个指南。为 IPv4 启用 DNS over HTTPS (DOH)从刚刚出现的提示中打开 IPv4 开关。接下来,从下面最安全的选项中输入您想要的首选 DNS :CloudFlare - 1.1.1.1 谷歌- 8.8.8.8 Quad9 - 9.9.9.9
注意: 如果您想使用不同的 DOH 解决方案或您自己创建了 DOH 服务器,请改为插入自定义首选 DNS地址。接下来,在正确的框中键入备用DNS 。确保继续执行与您在第 2 步中选择的相同的操作:
CloudFlare - 1.0.0.1 谷歌- 8.8.4.4 Quad9 - 149.112.112.112确保输入正确的值后,从备用 DNS 加密菜单(在 IPv4 下)中选择仅加密(DNS over HTTPS)。注意:请记住,如果您没有 可用的首选 DNS 加密 选项,则需要选择 仅加密(DNS over HTTPS)。 但在执行此操作之前,您需要更改此已连接网络适配器的 IPv4 DNS 地址并从顶部开始重复说明。为 IPv6 启用 DNS over HTTPS (DOH)从活动窗口启用名为 IPv6 的切换。在新出现的类型中,如果您使用不同的 DoH 提供商或您已经配置了自己的 DoH 服务器,则通过为下面选择一个流行的选项或插入您自己的自定义值来键入您想要的首选 DNS:
CloudFlare - 2606:4700:4700::1111谷歌- 2001:4860:4860::8888 Quad9 - 2620:fe::fe完成首选 DNS 后,移至 备用 DNS 内部框并从下面的候选列表中插入相应的值:
CloudFlare - 2606:4700:4700::1001谷歌- 2001:4860:4860::8844 Quad9 - 2620:fe::fe:9确保输入正确的值后,从备用 DNS 加密菜单(在 IPv6 下)中选择仅加密(DNS over HTTPS)。注意:如果您没有可用的首选 DNS 加密 选项,则需要选择 仅加密(DNS over HTTPS)。 但在执行此操作之前,您需要更改此已连接网络适配器的 IPv4 DNS 地址并从顶部开始重复说明。在 Windows 11 上通过组策略编辑器启用 DoH
重要提示:组策略在 Windows 11 家庭版上不可用。如果您有 Windows 11 专业版、Windows 11 企业版或 Windows 11 教育版,请仅按照以下说明进行操作。
按Windows 键 + R打开“运行”对话框。接下来,在文本框中键入“gpedit.msc” ,然后按Enter 键打开 Windows 11 上的组策略编辑器实用程序。如果User Account Control提示您,请单击Yes授予您自己管理员访问权限。在组策略编辑器中,使用左侧的菜单导航到以下位置:计算机配置 > 管理模板 > 网络 > DNS 客户端进入正确的路径后,移至右侧的菜单,然后双击 配置 DNS over HTTPS (DoH) 名称解析 策略。在专用策略窗口中,将策略状态设置为启用,然后单击应用以保存更改。启用 DoH 后, 从同一右侧窗格中找到DNS 服务器 策略,并根据您要使用的提供商设置IP 地址。