/
/

Como habilitar o DNS sobre TLS (DoT) no Windows 11

by Miguelito Balba, IT Editorial Expert
How to Enable DNS Over TLS (DoT) in Windows 11 blog banner image

Resumo instantâneo

Esta postagem do blog NinjaOne oferece uma lista abrangente de comandos CMD básicos e um mergulho profundo nos comandos do Windows, com +70 comandos CMD essenciais para usuários iniciantes e avançados. Explicamos sobre comandos práticos de prompt de comando para gerenciamento de arquivos, navegação em diretórios, solução de problemas de rede, operações de disco e automação, tudo com exemplos reais para maximizar a produtividade. Seja para aprender comandos básicos CMD ou dominar ferramentas avançadas de CLI do Windows, este guia ajuda você a usar o prompt de comando com mais eficiência.

À medida que a internet evolui, as estratégias de ataque também se tornaram mais prejudiciais e sofisticadas. É por isso que a criptografia do tráfego DNS é essencial para melhorar a privacidade na internet e impedir a vigilância não autorizada ou ataques de falsificação de DNS. Uma maneira de implementar isso é ativando o DNS sobre TLS (DoT), um protocolo DNS seguro que criptografa o tráfego do Sistema de Nomes de Domínio (DNS) por meio da Segurança da Camada de Transporte (TLS).

O Windows 11 oferece suporte nativo ao DNS sobre HTTPS (DoH) por meio de um método baseado no Registro. Neste guia, vamos explicar tudo o que você precisa saber para habilitar o DNS sobre TLS no Windows 11, incluindo pré-requisitos, métodos de configuração passo a passo e maneiras de verificar se está funcionando corretamente.

Pré-requisitos

Mas, antes de prosseguir, aqui estão alguns pré-requisitos que seu sistema precisa atender primeiro:

  • Aplica-se a todas as edições do Windows 11: Essas etapas funcionam nas edições Home, Pro e Enterprise do Windows 11.
  • Acesso a servidores DNS compatíveis com DoT:  Você precisará usar provedores de DNS que ofereçam suporte ao DNS sobre TLS, como o Quad9, o Cloudflare ou o NextDNS.
  • Privilégios de administrador: Este método requer direitos de administrador.
  • Requer a versão 25158 ou posterior: Esse recurso é compatível a partir da versão Insider 25158+ do Windows 11 (a disponibilização do recurso pode variar).

Além disso, você precisa configurar seu adaptador de rede para usar um servidor DNS compatível com DoT. Veja como:

  1. Pressione a tecla Windows + I para abrir as Configurações.
  2. Vá para Rede & Internet.
    • Para Wi-Fi: Wi-Fi > sua rede conectada > Propriedades do hardware
    • Para Ethernet: Ethernet > Propriedades
  3. Na seção “Atribuição de servidor DNS”, clique em “Editar”.
  4. Mude para o modo manual e ative o IPv4.
  5. Insira os endereços DNS do Quad9:
    • DNS preferencial: 9.9.9.9
    • DNS alternativo: 149.112.112.112
  6. (Opcional) Configurar o IPv6:
    • DNS preferencial: 2620:fe::fe
    • DNS alternativo: 2620:fe::9
  7. Repita esse procedimento tanto para as entradas preferenciais quanto para as alternativas.
  8. Clique em “Salvar” e reconecte-se à rede.

Depois de definir isso, você pode prosseguir com o método do Editor do Registro para habilitar o DNS criptografado.

Etapas para configurar o DNS sobre TLS (DoT)

⚠️Aviso sobre o “ ”: A edição do Registro pode causar problemas no sistema. Faça um backup antes de continuar.

💡 Observação: Não há nenhuma chave de registro que permita forçar o comportamento exclusivo do DoT. Esse método permite o uso de DNS criptografado e deixa a escolha do protocolo (DoT ou DoH) a cargo do Windows e do resolvedor.

Para configurar o DNS sobre TLS (DoT) no Windows 11, você pode usar o Editor do Registro. Esse método é mais indicado para usuários avançados ou administradores de TI que gerenciam vários sistemas.

Aqui estão os passos:

  1. Abra o Editor do Registro:
    • Pressione a tecla Windows + R, digite regedit e pressione Enter.
  2. Acesse os parâmetros do cliente DNS:
    • Acesse: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
  3. Criar ou modificar entradas do resolvedor:
    • Nesta etapa, você configurará os valores do Registro que determinam que o Windows utilize o DNS criptografado. Embora a Microsoft não ofereça uma configuração no Registro específica apenas para o DoT, esses valores garantem o funcionamento do DNS criptografado. O Windows negociará o DoT ou o DoH, dependendo do que o servidor DNS especificado suportar. Veja como fazer isso:
      • Adicione a chave DoHServerList. Clique com o botão direito do mouse no painel direito e selecione “Novo” >> > “Valor de cadeia”.
      • Diga o nome: DoHServerList
      • Clique duas vezes nele e insira uma URL de resolvedor seguro, como: https://dns.quad9.net/dns-query
      • Adicione a chave DoHPolicy. Clique com o botão direito do mouse no painel direito e selecione “Novo valor DWORD (32 bits) > ”.
      • Diga o nome: Política de Saúde Pública
      • Clique duas vezes nele e defina seu valor como 2

Essa configuração impõe a resolução de DNS criptografada (DoH ou DoT, conforme o que for compatível).

Como verificar se o DNS sobre TLS está funcionando

Depois de configurar um resolvedor DNS seguro, verifique se o DNS sobre TLS está ativo. Existem dois métodos que você pode usar para fazer isso:

Método 1: Método mais fácil – nslookup

A maneira mais fácil de confirmar se o DNS sobre TLS está ativo é realizando um teste rápido de consulta:

  1. Pressione a tecla Windows, digite cmd e abra o Prompt de Comando.
  2. Execute o seguinte comando:

nslookup google.com

  1. Se o DoT estiver configurado corretamente, você deverá ver seu servidor DNS seguro no início da saída. Por exemplo:

Servidor: dns9.quad9.net

Endereço: 9.9.9.9

Se o resultado indicar o seu resolvedor compatível com DoT configurado (por exemplo, Quad9, Cloudflare, NextDNS), isso significa que o DNS criptografado está funcionando.

Método 2: Verificação avançada – netstat, Wireshark, PowerShell

Para ter uma confirmação mais detalhada de que o DoT (e não o DoH ou o DNS em texto simples) está em uso, você também pode fazer o seguinte:

  1. Pressione a tecla Windows para abrir o Menu Iniciar e digite “PowerShell”. Clique em PowerShell.
  2. Execute o seguinte comando: Get-DnsClientDohServerAddress. Isso exibirá uma lista dos servidores DNS criptografados configurados no seu sistema.
    • Se o seu resolvedor compatível com DoT/DoH (por exemplo, Quad9, Cloudflare ou NextDNS) aparecer na saída, isso significa que o DNS criptografado está ativo.
    • Se não houver entradas listadas, ou se aparecerem apenas resolvedores de texto simples, a configuração não foi aplicada corretamente.
  3. Para confirmar se o DoT (e não o DoH ou o DNS em texto simples) está sendo usado, você pode utilizar o netstat para verificar se há conexões de saída na porta 853, que é reservada para o DNS sobre TLS.
    • Execute o seguinte comando: netstat -an | findstr :853
    • Se você observar entradas indicando uma conexão ESTABELECIDA com o seu servidor DNS na porta 853, o DoT está ativo.
  4. Você também pode usar o Wireshark ou o netstat para confirmar o tráfego DNS criptografado na porta 853 (para DoT).
    • Abra o Wireshark e inicie uma captura na sua interface de rede ativa.
    • Na barra de filtro, digite o seguinte: tcp.port == 853
    • Isso exibe apenas o tráfego de DNS sobre TLS. Se você observar pacotes enviados para ou recebidos do seu servidor DNS configurado (por exemplo, 9.9.9.9), isso confirma que o DoT está em uso.
  5. Como alternativa, verifique os diagnósticos do seu resolvedor de DNS usando um navegador após a configuração.

⚠️ Pontos a serem observados

Riscos Possíveis consequências Reversões
Configuração incorreta do Registro A resolução de DNS pode falhar, ou os resolvedores criptografados podem não ser aplicados. Abra o Editor do Registro. Acesse HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters. Verifique ou remova as chaves DoHPolicy ou DoHServerList incorretas.
AllowFallbackToUdp definido como $true Se o recurso de fallback estiver ativado, o sistema poderá voltar a usar o DNS não criptografado caso o DoT falhe. Reconfigure com o fallback desativado:

  • -AllowFallbackToUdp $false para exigir que a resolução de DNS seja feita exclusivamente por meio de conexões criptografadas.
Firewall bloqueando a porta 853 O tráfego DNS sobre TLS está bloqueado, o que pode fazer com que o DNS não funcione ou passe a utilizar texto simples por padrão. Certifique-se de que o tráfego TCP de saída na porta 853 esteja permitido. Verifique usando:

netstat -an

Utilização de um provedor de DNS que não suporta DoT O DNS criptografado não funcionará; o sistema pode passar automaticamente para texto simples ou DoH. Mude para um resolvedor compatível com DoT (por exemplo, Quad9 – 9.9.9.9, Cloudflare – 1.1.1.1, NextDNS).

Por que usar DNS sobre TLS?

Existem várias razões pelas quais o uso do DNS sobre TLS se tornou essencial. Aqui estão alguns deles:

  • Proteger o DNS: Ao criptografar as consultas de DNS, o DoT protege as consultas dos terminais contra espionagem e manipulação.
  • Melhorar a privacidade na resolução de DNS em terminais: O DoT garante que as consultas de domínio não possam ser rastreadas facilmente.
  • Suportar comunicação DNS segura: O uso do DNS sobre TLS garante proteção para comunicações nas quais a interceptação do DNS é mais provável, como em ambientes corporativos e em redes públicas.
  • Cumprir as políticas de segurança atuais: Alguns setores, marcos regulatórios ou padrões de segurança recomendam ou exigem protocolos DNS criptografados.

Considerações adicionais

Aqui estão alguns fatores que você precisa levar em consideração ao habilitar o DNS sobre LS (DoT):

  • Porta TCP 853: O DoT utiliza a porta 853; certifique-se de que ela não esteja bloqueada por firewalls ou políticas de rede. Se você estiver usando o Firewall do Windows Defender, talvez seja necessário permitir conexões TCP de saída na porta 853 por meio do Firewall do Windows Defender com Segurança Avançada.
  • Desativar o recurso de fallback para DNS em texto simples: Recurso alternativo: -AllowFallbackToUdp $false garante que nenhum DNS em texto simples seja usado caso a criptografia falhe.
  • Tunelamento dividido/VPNs: O DNS criptografado pode entrar em conflito com as configurações de DNS impostas pelas VPNs corporativas.
  • Limitações da Política de Grupo: O suporte nativo a GPO para o DoT é limitado. Recomenda-se o uso de scripts para implantação corporativa.

Como habilitar o DNS sobre TLS (DoT) no Windows 11

Na era das invasões online sofisticadas e dos ataques cibernéticos, habilitar o DNS sobre TLS tornou-se uma defesa valiosa para melhorar a proteção da privacidade do seu sistema. Essa estratégia criptografa o tráfego DNS e reduz o risco de interceptação ou falsificação. Embora a configuração não esteja prontamente disponível por meio da interface gráfica (GUI), o DoT pode ser configurado por meio de alterações no Registro. Você pode confirmar se a configuração foi bem-sucedida usando o PowerShell ou um rastreamento de rede para verificar se a porta 853 (DoT) está sendo utilizada.

Tópicos relacionados:

Recomendados para você

Pronto para simplificar as partes mais difíceis da TI?

Termos e condições NinjaOne

Ao clicar no botão “Aceito” abaixo, você indica sua aceitação dos seguintes termos legais, bem como dos nossos Termos de Uso:

  • Direitos de propriedade: A NinjaOne é proprietária e continuará a ser proprietária de todos os direitos, títulos e interesses relativos ao script (incluindo os direitos autorais). A NinjaOne está concedendo a você uma licença limitada para usar o script de acordo com os presentes termos legais.
  • Limitação de uso: Você só poderá usar o script para fins comerciais internos ou pessoais legítimos, sendo vedado compartilhar o script com terceiros.
  • Proibição de republicação: Em nenhuma circunstância você tem permissão para republicar o script em qualquer biblioteca de scripts pertencente ou sob o controle de qualquer outro fornecedor de software.
  • Isenção de responsabilidade da garantia: O script é fornecido “no estado em que se encontra” e “conforme disponível”, sem qualquer tipo de garantia. A NinjaOne não promete ou garante que o script estará livre de defeitos ou que atenderá às suas necessidades ou expectativas específicas.
  • Assunção de riscos: O uso do script é por sua própria conta e risco. Você reconhece que há certos riscos inerentes ao uso do script, e você compreende e assume cada um desses riscos.
  • Renúncia e isenção de responsabilidade: Você não responsabilizará a NinjaOne por consequências adversas ou não intencionais resultantes do seu uso do script e renunciará a quaisquer direitos ou tutelas legais que possa ter contra a NinjaOne em relação ao seu uso do script.
  • EULA: Se você for cliente da NinjaOne, o uso do script está sujeito ao Contrato de Licença de Usuário Final aplicável a você (EULA).