À medida que a internet evolui, as estratégias de ataque também se tornaram mais prejudiciais e sofisticadas. É por isso que a criptografia do tráfego DNS é essencial para melhorar a privacidade na internet e impedir a vigilância não autorizada ou ataques de falsificação de DNS. Uma maneira de implementar isso é ativando o DNS sobre TLS (DoT), um protocolo DNS seguro que criptografa o tráfego do Sistema de Nomes de Domínio (DNS) por meio da Segurança da Camada de Transporte (TLS).
O Windows 11 oferece suporte nativo ao DNS sobre HTTPS (DoH) por meio de um método baseado no Registro. Neste guia, vamos explicar tudo o que você precisa saber para habilitar o DNS sobre TLS no Windows 11, incluindo pré-requisitos, métodos de configuração passo a passo e maneiras de verificar se está funcionando corretamente.
Pré-requisitos
Mas, antes de prosseguir, aqui estão alguns pré-requisitos que seu sistema precisa atender primeiro:
- Aplica-se a todas as edições do Windows 11: Essas etapas funcionam nas edições Home, Pro e Enterprise do Windows 11.
- Acesso a servidores DNS compatíveis com DoT: Você precisará usar provedores de DNS que ofereçam suporte ao DNS sobre TLS, como o Quad9, o Cloudflare ou o NextDNS.
- Privilégios de administrador: Este método requer direitos de administrador.
- Requer a versão 25158 ou posterior: Esse recurso é compatível a partir da versão Insider 25158+ do Windows 11 (a disponibilização do recurso pode variar).
Além disso, você precisa configurar seu adaptador de rede para usar um servidor DNS compatível com DoT. Veja como:
- Pressione a tecla Windows + I para abrir as Configurações.
- Vá para Rede & Internet.
- Para Wi-Fi: Wi-Fi > sua rede conectada > Propriedades do hardware
- Para Ethernet: Ethernet > Propriedades
- Na seção “Atribuição de servidor DNS”, clique em “Editar”.
- Mude para o modo manual e ative o IPv4.
- Insira os endereços DNS do Quad9:
- DNS preferencial: 9.9.9.9
- DNS alternativo: 149.112.112.112
- (Opcional) Configurar o IPv6:
- DNS preferencial: 2620:fe::fe
- DNS alternativo: 2620:fe::9
- Repita esse procedimento tanto para as entradas preferenciais quanto para as alternativas.
- Clique em “Salvar” e reconecte-se à rede.
Depois de definir isso, você pode prosseguir com o método do Editor do Registro para habilitar o DNS criptografado.
Etapas para configurar o DNS sobre TLS (DoT)
⚠️Aviso sobre o “ ”: A edição do Registro pode causar problemas no sistema. Faça um backup antes de continuar.
💡 Observação: Não há nenhuma chave de registro que permita forçar o comportamento exclusivo do DoT. Esse método permite o uso de DNS criptografado e deixa a escolha do protocolo (DoT ou DoH) a cargo do Windows e do resolvedor.
Para configurar o DNS sobre TLS (DoT) no Windows 11, você pode usar o Editor do Registro. Esse método é mais indicado para usuários avançados ou administradores de TI que gerenciam vários sistemas.
Aqui estão os passos:
- Abra o Editor do Registro:
- Pressione a tecla Windows + R, digite regedit e pressione Enter.
- Acesse os parâmetros do cliente DNS:
- Acesse: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
- Criar ou modificar entradas do resolvedor:
- Nesta etapa, você configurará os valores do Registro que determinam que o Windows utilize o DNS criptografado. Embora a Microsoft não ofereça uma configuração no Registro específica apenas para o DoT, esses valores garantem o funcionamento do DNS criptografado. O Windows negociará o DoT ou o DoH, dependendo do que o servidor DNS especificado suportar. Veja como fazer isso:
- Adicione a chave DoHServerList. Clique com o botão direito do mouse no painel direito e selecione “Novo” > “> ” > “Valor de cadeia”.
- Diga o nome: DoHServerList
- Clique duas vezes nele e insira uma URL de resolvedor seguro, como: https://dns.quad9.net/dns-query
- Adicione a chave DoHPolicy. Clique com o botão direito do mouse no painel direito e selecione “Novo valor DWORD (32 bits) > ”.
- Diga o nome: Política de Saúde Pública
- Clique duas vezes nele e defina seu valor como 2
- Nesta etapa, você configurará os valores do Registro que determinam que o Windows utilize o DNS criptografado. Embora a Microsoft não ofereça uma configuração no Registro específica apenas para o DoT, esses valores garantem o funcionamento do DNS criptografado. O Windows negociará o DoT ou o DoH, dependendo do que o servidor DNS especificado suportar. Veja como fazer isso:
Essa configuração impõe a resolução de DNS criptografada (DoH ou DoT, conforme o que for compatível).
Como verificar se o DNS sobre TLS está funcionando
Depois de configurar um resolvedor DNS seguro, verifique se o DNS sobre TLS está ativo. Existem dois métodos que você pode usar para fazer isso:
Método 1: Método mais fácil – nslookup
A maneira mais fácil de confirmar se o DNS sobre TLS está ativo é realizando um teste rápido de consulta:
- Pressione a tecla Windows, digite cmd e abra o Prompt de Comando.
- Execute o seguinte comando:
nslookup google.com
- Se o DoT estiver configurado corretamente, você deverá ver seu servidor DNS seguro no início da saída. Por exemplo:
Servidor: dns9.quad9.net
Endereço: 9.9.9.9
Se o resultado indicar o seu resolvedor compatível com DoT configurado (por exemplo, Quad9, Cloudflare, NextDNS), isso significa que o DNS criptografado está funcionando.
Método 2: Verificação avançada – netstat, Wireshark, PowerShell
Para ter uma confirmação mais detalhada de que o DoT (e não o DoH ou o DNS em texto simples) está em uso, você também pode fazer o seguinte:
- Pressione a tecla Windows para abrir o Menu Iniciar e digite “PowerShell”. Clique em PowerShell.
- Execute o seguinte comando:
Get-DnsClientDohServerAddress. Isso exibirá uma lista dos servidores DNS criptografados configurados no seu sistema.- Se o seu resolvedor compatível com DoT/DoH (por exemplo, Quad9, Cloudflare ou NextDNS) aparecer na saída, isso significa que o DNS criptografado está ativo.
- Se não houver entradas listadas, ou se aparecerem apenas resolvedores de texto simples, a configuração não foi aplicada corretamente.
- Para confirmar se o DoT (e não o DoH ou o DNS em texto simples) está sendo usado, você pode utilizar o netstat para verificar se há conexões de saída na porta 853, que é reservada para o DNS sobre TLS.
- Execute o seguinte comando:
netstat -an | findstr :853 - Se você observar entradas indicando uma conexão ESTABELECIDA com o seu servidor DNS na porta 853, o DoT está ativo.
- Execute o seguinte comando:
- Você também pode usar o Wireshark ou o netstat para confirmar o tráfego DNS criptografado na porta 853 (para DoT).
- Abra o Wireshark e inicie uma captura na sua interface de rede ativa.
- Na barra de filtro, digite o seguinte: tcp.port == 853
- Isso exibe apenas o tráfego de DNS sobre TLS. Se você observar pacotes enviados para ou recebidos do seu servidor DNS configurado (por exemplo, 9.9.9.9), isso confirma que o DoT está em uso.
- Como alternativa, verifique os diagnósticos do seu resolvedor de DNS usando um navegador após a configuração.
⚠️ Pontos a serem observados
| Riscos | Possíveis consequências | Reversões |
| Configuração incorreta do Registro | A resolução de DNS pode falhar, ou os resolvedores criptografados podem não ser aplicados. | Abra o Editor do Registro. Acesse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters. Verifique ou remova as chaves DoHPolicy ou DoHServerList incorretas. |
| AllowFallbackToUdp definido como $true | Se o recurso de fallback estiver ativado, o sistema poderá voltar a usar o DNS não criptografado caso o DoT falhe. | Reconfigure com o fallback desativado:
|
| Firewall bloqueando a porta 853 | O tráfego DNS sobre TLS está bloqueado, o que pode fazer com que o DNS não funcione ou passe a utilizar texto simples por padrão. | Certifique-se de que o tráfego TCP de saída na porta 853 esteja permitido. Verifique usando:
|
| Utilização de um provedor de DNS que não suporta DoT | O DNS criptografado não funcionará; o sistema pode passar automaticamente para texto simples ou DoH. | Mude para um resolvedor compatível com DoT (por exemplo, Quad9 – 9.9.9.9, Cloudflare – 1.1.1.1, NextDNS). |
Por que usar DNS sobre TLS?
Existem várias razões pelas quais o uso do DNS sobre TLS se tornou essencial. Aqui estão alguns deles:
- Proteger o DNS: Ao criptografar as consultas de DNS, o DoT protege as consultas dos terminais contra espionagem e manipulação.
- Melhorar a privacidade na resolução de DNS em terminais: O DoT garante que as consultas de domínio não possam ser rastreadas facilmente.
- Suportar comunicação DNS segura: O uso do DNS sobre TLS garante proteção para comunicações nas quais a interceptação do DNS é mais provável, como em ambientes corporativos e em redes públicas.
- Cumprir as políticas de segurança atuais: Alguns setores, marcos regulatórios ou padrões de segurança recomendam ou exigem protocolos DNS criptografados.
Considerações adicionais
Aqui estão alguns fatores que você precisa levar em consideração ao habilitar o DNS sobre LS (DoT):
- Porta TCP 853: O DoT utiliza a porta 853; certifique-se de que ela não esteja bloqueada por firewalls ou políticas de rede. Se você estiver usando o Firewall do Windows Defender, talvez seja necessário permitir conexões TCP de saída na porta 853 por meio do Firewall do Windows Defender com Segurança Avançada.
- Desativar o recurso de fallback para DNS em texto simples: Recurso alternativo:
-AllowFallbackToUdp $falsegarante que nenhum DNS em texto simples seja usado caso a criptografia falhe. - Tunelamento dividido/VPNs: O DNS criptografado pode entrar em conflito com as configurações de DNS impostas pelas VPNs corporativas.
- Limitações da Política de Grupo: O suporte nativo a GPO para o DoT é limitado. Recomenda-se o uso de scripts para implantação corporativa.
Como habilitar o DNS sobre TLS (DoT) no Windows 11
Na era das invasões online sofisticadas e dos ataques cibernéticos, habilitar o DNS sobre TLS tornou-se uma defesa valiosa para melhorar a proteção da privacidade do seu sistema. Essa estratégia criptografa o tráfego DNS e reduz o risco de interceptação ou falsificação. Embora a configuração não esteja prontamente disponível por meio da interface gráfica (GUI), o DoT pode ser configurado por meio de alterações no Registro. Você pode confirmar se a configuração foi bem-sucedida usando o PowerShell ou um rastreamento de rede para verificar se a porta 853 (DoT) está sendo utilizada.