Windows 11、DNS-over-HTTPSのプライバシー機能が搭載:使用方法は

windows-11-header

マイクロソフトは、Windows 11にDNS-over-HTTPSと呼ばれるプライバシー機能を追加し、ユーザーが暗号化されたDNS問い合わせを実行できるようにすることを発表しました。

インターネット上のウェブサイトなどに接続する際、コンピューターはまずドメインネームシステム(DNS)サーバーにホスト名に関連付けられたIPアドレスを問い合わせる必要があります。

DNS-over-HTTPS(DoH)は、ISPや政府が盗聴してしまうような通常のプレーンテキストのDNS問い合わせではなく、暗号化されたHTTPS接続を介してコンピュータがこれらのDNS問い合わせを実行できるようにするものです

一部の政府やISPはユーザーのDNSトラフィックを監視することでサイトへのアクセスをブロックしていますが、DoHを利用することでユーザーは、DNSリクエストを容易に監視できなくなることでプライバシーを向上させることができます。

Google ChromeやMicrosoft EdgeなどのChromiumベースのブラウザやMozilla Firefoxは、すでにDoHへの対応機能の追加を完了しています。しかし、DoHはブラウザでのみ使用され、コンピュータ上で動作する他のアプリケーションでは使用されません。

そのため、OS事態がこの機能をサポートしていると、デバイス上のすべてのDNS問い合わせが暗号化されるので、さらにプライバシーを保護することができます。

Windows 11では、ユーザーは「設定」→「ネットワークとインターネット」→「イーサネット/無線」→「DNSサーバー割り当ての編集」でテストを開始することができます。

現在、デバイスがDNS-over-HTTPSをサポートしていることが知られているDNSサーバーを使用するように設定されている場合、以下のようにDoHを有効にすることができる「Preferred DNS encryption」が新たに表示されます。

「Preferred DNS encryption」では、以下の選択肢があり

  • 暗号化されていないのみ – 標準の暗号化されていないDNSを使用
  • 暗号化されたのみ (DNS over HTTPS) – DoH サーバーのみを使用
  • Encrypted preferred, unencrypted only – DoH サーバーの使用を試みますが、使用できない場合は標準の非暗号化 DNS にフォールバック

現時点でマイクロソフト社は、以下のDNSサーバーがDoHに対応していることがわかっているため、Windows 11のDNS-over-HTTPS機能で自動的に使用できるとしています。

  • クラウドフレア 1.1.1.1 および 1.0.0.1 DNS サーバー
  • グーグル 8.8.8.8および8.8.8.4 DNSサーバー
  • Quad9:9.9.9.9および149.112.112.112のDNSサーバー

Windows 11 ですでに構成されている DNS-over-HTTPS の定義を確認するには、次のコマンドで確認できます。

netsh dns show encryption
Get-DnsClientDohServerAddress

管理者が次のコマンドを使用して独自の DoH サーバー定義を作成することもできます。

netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no
Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

グループポリシーによるDoHの管理

Microsoftは、Windows 11のDNS-over-HTTPSの設定をグループポリシーで管理する機能も追加しています。

Windows 11では、「コンピュータの構成」>「管理用テンプレート」>「ネットワーク」>「DNSクライアント」の下に「Configure DNS over HTTPS (DoH) name resolution」ポリシーが存在します。

New Configure DNS over HTTPS (DoH) name resolution policy(新規DNSオーバーHTTPS(DoH)名前解決ポリシーの設定
このポリシーでは、マシンが標準の暗号化されていないDNSを使用するか、DoHを好むか、DoHを必要とするかを設定できます。

Leave a Reply

Your email address will not be published.