Roland Freist
Windows unterstützte zuvor keine DNS-Verschlüsselung. Dies hat sich mit Version 11 geändert. Allerdings müssen Sie die entsprechende Option erst über die Registry aktivieren.
Windows 11 erweitern: Verschlüsselte DNS-Abfragen einrichten
Vor einigen Jahren enthüllte Edward Snowden, dass der US-Geheimdienst NSA den Spuren überwachter Personen im Internet unter anderem durch deren DNS-Abfragen folgt. DNS steht für Domain Name System (oder Server) und beschreibt, wie ein Internetnutzer mit der Website www.pcwelt.de verbunden wird. Denn dahinter steckt eigentlich eine IP-Adresse, im Fall von PC-WELT ist es 13.227.153.44.
Wenn Sie www.pcwelt.de eingeben, führt Ihr Browser einen DNS-Lookup durch, um die IP-Adresse zu ermitteln. Es geht normalerweise an den DNS-Server Ihres Anbieters. Dieser Server wird als DNS-Resolver bezeichnet. Dieser Resolver ist Teil des weltweiten DNS-Systems, das von Millionen von DNS-Servern zum Austausch von Informationen verwendet wird. Sie leiten auch Anfragen, die sie nicht selbst beantworten können, an einen anderen Server weiter. Obwohl das System sehr kompliziert ist, liefert es Ihnen normalerweise in wenigen Millisekunden das gewünschte Ergebnis.
In der Vergangenheit waren DNS-Anfragen grundsätzlich unverschlüsselt. Dadurch konnte nachvollzogen werden, wann welcher Nutzer welche Seiten aufgerufen hatte. In Europa ist die Erstellung entsprechender Profile durch den Anbieter oder die werbetreibende Industrie nicht erlaubt, in anderen Ländern jedoch schon. An diesen Informationen sind auch die Geheimdienste interessiert.
Erweitern Sie Websites wie DNS Privacy, die Listen von DNS-Resolvern führen, die eine Verschlüsselung mit einer oder mehreren der derzeit verwendeten Methoden zulassen.
Daher gibt es seit einigen Jahren Bestrebungen, DNS-Anfragen zu verschlüsseln. Die entsprechenden Verfahren heißen DNS-Crypt, DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) oder Oblivious DNS-over-HTTPS (ODoH) für anonyme DNS-Anfragen, die vom DNS-Resolver unterstützt werden. Wenn der DNS-Server Ihres Anbieters keine Verschlüsselung anbietet, können Sie unter Windows oder Android einen anderen Server konfigurieren, beispielsweise den DNS-Server von Google, auf den Sie unter den IP-Adressen 8.8.8.8 und 8.8.4.4 zugreifen können. Eine Liste der Verschlüsselungs-DNS-Server finden Sie unter Windows unterstützte zuvor keine DNS-Verschlüsselung. Dies hat sich mit Version 11 geändert. Allerdings müssen Sie die entsprechende Option erst über die Registry aktivieren.
Öffnen Sie das Suchfeld, indem Sie auf die Lupe in der Taskleiste klicken und regedit eingeben. Klicken Sie auf den Ordner HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT. Erstellen Sie dort dann einen neuen Unterschlüssel: Klicken Sie mit der rechten Maustaste auf „Windows NT“ und wählen Sie „Neu -> Schlüssel“. Nennen Sie den neuen Schlüssel “DNSClient”. Weisen Sie dieser Taste nun einen DWORD-Wert zu. Aktivieren Sie „DNS-Client“, klicken Sie in die rechte Hälfte des Fensters und gehen Sie zu „Neu –› DWORD (32-Bit)-Wert“.
Benennen Sie den neuen Eintrag „DoHPolicy“. Klicken Sie dann doppelt darauf und geben Sie als Wert “2” ein. Der Wert „1“ bedeutet, dass Windows keine Auflösung verschlüsselter Namen über DNS durchführt. Alles geht weiter, wie es immer war. Eine „2“ zeigt an, dass das Betriebssystem sowohl klassische als auch verschlüsselte DNS-Lookups anbieten soll. Wenn Sie eine „3“ eingeben, akzeptiert Windows nur verschlüsselte Anfragen über HTTPS, also nach dem DNS-over-HTTPS (DoH)-Verfahren.
Erweitern Bevor Windows 11 die Konfiguration einer verschlüsselten DNS-Abfrage zulässt, müssen Sie zunächst einen Eintrag in der Registrierung vornehmen.
Gehen Sie nun zu Windows “Einstellungen” und öffnen Sie dann “Netzwerk und Internet”. Scrollen Sie für eine kabelgebundene Ethernet-Verbindung nach unten und klicken Sie neben DNS-Serverzuordnungen auf Bearbeiten. Wechseln Sie im nächsten Fenster auf „Manual“ und schieben Sie den Schalter von „IPv4“ auf „On“. Tragen Sie bei „Bevorzugter DNS“ einen Verschlüsselungs-DNS-Server ein, beispielsweise den Google-Server mit der Adresse 8.8.8.8. Dank der Registrierungsänderung sehen Sie unten ein neues Menü „Bevorzugte DNS-Verschlüsselung“.
Stellen Sie nun „Nur verschlüsselt (DNS über HTTPS)“ oder „Verschlüsselung bevorzugt, keine Verschlüsselung erlaubt“ ein. Wenn Sie möchten, können Sie bei „Alternative DNS“ einen weiteren Server eintragen. Klicken Sie abschließend auf „Speichern“. Wenn Sie über WLAN mit dem Netzwerk oder dem Internet verbunden sind, klicken Sie unter „Netzwerk und Internet“ auf „WLAN“ und dann auf „[WLAN-Name]-Funktionen”. Scrollen Sie dann nach unten zu DNS-Serverzuordnungen.
…