Die Einrichtung von DNS over HTTPS (DoH) unter Windows kann etwas knifflig sein, insbesondere da DNS-Datenverkehr standardmäßig unverschlüsselt übertragen wird und somit Angriffsfläche für unbemerkte Dritte bietet. Wenn Ihnen Datenschutz wichtig ist oder Sie einfach die Meldung „nicht verschlüsselt“ loswerden möchten, werden Ihre DNS-Anfragen durch die Aktivierung von DoH über eine verschlüsselte HTTPS-Verbindung geschützt. Allerdings ist der Vorgang nicht ganz einfach, vor allem unter Windows 11, das endlich Unterstützung dafür bietet. Daher hier eine Übersicht meiner Lösungsansätze und Tipps, falls etwas nicht wie erwartet funktioniert.
So aktivieren Sie DNS over HTTPS über die Windows-Benutzeroberfläche
Verwenden Sie das Menü „Einstellungen“, um DoH für Ihr Netzwerk zu aktivieren.
- Gehen Sie zu Einstellungen —> Netzwerk & Internet —> und wählen Sie Ihre Netzwerkschnittstelle (Ethernet oder Wi-Fi).
- Klicken Sie auf Eigenschaften (nicht nur auf den Verbindungsnamen, sondern klicken Sie sich bis zu den Details durch).
- Scrollen Sie nach unten zum Abschnitt „DNS-Serverzuweisung“ und klicken Sie auf „Bearbeiten“.
- Wählen Sie im Dropdown-Menü für „DNS bearbeiten“ die Option „Manuell“, aktivieren Sie je nach Bedarf IPv4 oder IPv6 und geben Sie dann die IP-Adressen der DNS-Server ein, die DoH unterstützen, wie beispielsweise Cloudflares 1.1.1.1 und 1.0.0.1 oder Googles 8.8.8.8 und 8.8.4.4.
- Und hier kommt der knifflige Teil: Die Einstellung zum Aktivieren von DoH in der Windows-Benutzeroberfläche ist nicht offensichtlich. Anders als bei Windows Server oder einigen Browsern gibt es in Windows 11 keine explizite Option zum Aktivieren von verschlüsseltem DNS in den Netzwerkeinstellungen.
- Sie können dies jedoch unter Windows 11 mithilfe von PowerShell-Befehlen erzwingen (siehe unten).In manchen Konfigurationen verwendet Windows Ihren DNS-Server mit DoH, sofern dieser die Unterstützung unterstützt. Dies ist jedoch ohne weitere Anpassungen nicht garantiert.
Hinweis: Falls Windows DoH explizit bevorzugen soll, müssen Sie möglicherweise Registry-Einstellungen anpassen oder Befehlszeilentools verwenden. Denn natürlich muss Windows es unnötig kompliziert machen.
Unter Windows 11 erfolgt die Konfiguration über PowerShell.
Folgendes hat mir geholfen, DoH zum Laufen zu bringen: Sie können Ihren bevorzugten DoH-Server zum System hinzufügen und die Nutzung über die Kommandozeile erzwingen. Allerdings berichten einige Nutzer, dass diese Befehle auf bestimmten Laptops oder Systemkonfigurationen mit Administratorrechten ausgeführt und anschließend ein Neustart durchgeführt werden muss. Beispiel: So fügen Sie den DoH-Server von Cloudflare mit der URL für die Filterung (Familienmodus) hinzu:
$DNSServer = "1.1.1.3" # or 1.0.0.3 for family DNS Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://family.cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $TrueDadurch wird der DoH-Server hinzugefügt und Windows veranlasst, ihn für verschlüsselte Anfragen zu verwenden. Aktualisieren Sie anschließend Ihre Schnittstelleneinstellungen, um diesen Server zu bevorzugen.
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses $DNSServerAnschließend kann die DoH-Nutzung explizit erzwungen werden, indem die Registrierung angepasst oder Gruppenrichtlinien verwendet werden. Für die Registrierung (erneut als Administrator ausführen):
New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Dnscache\Parameters" -Name "EnableAutoDoh" -Value 2 -PropertyType DWord -ForceDiese Einstellung (Wert 2) soll die automatische DoH-Unterstützung aktivieren. Auf manchen Rechnern funktioniert dies beim ersten Mal nicht, dann aber nach einem Neustart. Die Ursache ist unklar, aber ein Versuch ist es wert.
So überprüfen Sie, ob DoH unter Windows funktioniert
Überprüfen Sie dies mit einem Netzwerkverkehrsmonitor.
Unter Windows können Sie mit dem integrierten pktmon.exeTool überprüfen, ob DNS-Anfragen verschlüsselt sind. Es ist etwas umständlich, funktioniert aber. Entfernen Sie vorher alle vorhandenen Filter.
pktmon filter removeFügen Sie anschließend einen Filter für Port 53 (normales DNS, UDP oder TCP) hinzu:
pktmon filter add -p 53Echtzeitüberwachung starten:
pktmon start --etw -m real-timeWenn alles korrekt konfiguriert ist, sollte auf Port 53 kaum oder gar kein DNS-Verkehr stattfinden – was darauf hindeutet, dass der gesamte DNS-Verkehr verschlüsselt über HTTPS über Port 443 geleitet wird. Trotz gelegentlich auftretender, verwirrender Fehler oder Verzögerungen deutete dies in meiner Konfiguration im Allgemeinen auf ein funktionierendes DoH hin.
Eine weitere Möglichkeit besteht darin, den Secure DNS Check zu besuchen. Dieser zeigt Ihnen an, ob Ihre DNS-Anfragen verschlüsselt sind und ob DoH aktiv ist.
Und natürlich bieten Browser wie Chrome, Firefox und Edge eigene Einstellungen zur Aktivierung von DoH, was eine zusätzliche Verschlüsselungsebene für Ihr browserspezifisches DNS hinzufügt. Aber das ist ein ganz anderes Thema.
Ehrlich gesagt ist der ganze Prozess ziemlich kompliziert, vor allem, weil Windows die Implementierung bestenfalls vage hält. Wenn es aber erst einmal funktioniert, müssen Sie sich deutlich weniger Sorgen machen, dass Dritte Ihren DNS-Verkehr ausspionieren. Zumindest ist das die Idee.
Zusammenfassung
- Verwenden Sie PowerShell-Befehle, um DoH-Server hinzuzufügen und zu erzwingen.
- Ändern Sie die DNS-Einstellungen des Netzwerkadapters, um DoH-kompatible IPs zu verwenden.
- Überprüfen Sie den Datenverkehr mit pktmon.exe, um festzustellen, ob DNS-Anfragen verschlüsselt sind.
- Manche Anpassungen erfordern möglicherweise einen Neustart oder Änderungen an der Registrierung (Vorsicht!).
- Browser handhaben DoH unabhängig, daher sollten Sie es gegebenenfalls auch dort aktivieren.
Zusammenfassung
Die Einrichtung von DNS over HTTPS unter Windows ist nicht ganz einfach, aber mit ein paar Befehlen in der Kommandozeile durchaus machbar. Manchmal klappt es nicht sofort; ein Neustart oder die Überprüfung der DNS-Einstellungen kann Abhilfe schaffen. Nach der Konfiguration sind Ihre DNS-Anfragen deutlich schwerer abzufangen – eine echte Erleichterung. Hoffentlich hilft das jemandem, endlich eine reibungslose DNS-Verschlüsselung zu erreichen. Viel Erfolg!