Windows Server получил поддержку DNS over HTTPS

Microsoft внедрила поддержку DNS over HTTPS (DoH) для Windows DNS Server. По существу, она обеспечивает зашифрованный DNS для сетей вместо передачи трафика в открытом виде. 

Выход DoH в общедоступную версию позволяет организациям развёртывать подход в производственных средах без внедрения новой архитектуры «клиент-резолвер». DoH помогает повысить общую защита сети и снижает риск подмены DNS благодаря своей архитектуре с нулевым доверием. Это существенное модификация, поскольку фактически каждое взаимодействие с сетью требует взаимодействия с DNS.

DoH предлагает ряд преимуществ относительноо стандартным DNS-трафиком, таких как шифрование с использованием HTTPS, предотвращение несанкционированного доступа, атак типа «человек посередине» и аналитика трафика. Поскольку он использует сертификаты TLS, позволяющие клиентам проверять подлинность DNS-сервера, это предотвращает подмену DNS с помощью этого механизма аутентификации. Помимо этого, алгоритм построен на стандарте DoH, определённом Рабочей группой по проектированию интернета (IETF), что означает, что он должен работать с современными клиентами, соответствующими стандарту RFC 8484. Наконец, он легко интегрируется в существующую сетевую архитектуру и даже может функционировать параллельно со стандартным DNS.

Microsoft заявляет, что за последние несколько месяцев предварительного тестирования DoH стал более стабильным, и клиенты могут развёртывать его в производственных средах при наличии соответствующих рекомендаций.

Клиенты Windows уже поддерживают DoH, но последняя релиз для Windows Server обеспечивает зашифрованный DNS для всех конечных точек. Организация также отметила, что «хотя этот релиз сосредоточен на шифровании связи между клиентом и резолвером, поддержка зашифрованной связи между Windows DNS Server и вышестоящими DNS-резолверами планируется в будущем обновлении». 

Для установки потребуется Windows Server 2025 с последними обновлениями Patch Tuesday.

Ранее Microsoft открыла путь обновления Windows для Windows Server 2025, позволяющий выполнять апдейты на месте. До этого апдейт обычно требовало либо чистой установки, либо использования ISO-образов и других внешних инструментов. Новый решение даёт возможность обновиться напрямую через типовой механизм Windows Update.