Ваш Windows 11 сливает DNS-запросы в открытый вид. И вы даже не подозреваете об этом
Вы включили DoH. Вы поставили галочку в браузере. Вы думаете, что защищены.
Позвольте показать вам кое-что, от чего у большинства сисадминов холодеют руки.
Откройте PowerShell от имени администратора и введите одну команду:
Get-DnsClientDohServerAddress
Посмотрите на колонку AllowFallbackToUdp. Если там стоит True — поздравляю. Ваш «защищенный» DNS-over-HTTPS только что трижды отправил ваш запрос на банковский сайт в открытом виде через UDP 53, потому что ваш DoH-провайдер моргнул на 200 миллисекунд.
Windows считает, что какой-то ответ лучше, чем защищенный ответ.
И это только верхушка айсберга.
Что изменилось в Windows 11 25H2 (и почему старые гайды теперь опасны)
В 2024 году Microsoft тихо изменила архитектуру DNS-клиента. Служба Dnscache стала критически зависимой для работы всего DNS-стека. Если раньше вы могли остановить её через services.msc и DNS продолжал работать (просто без кэша), то теперь остановка Dnscache полностью отключает резолвинг доменов.
Все гайды с командами Stop-Service Dnscache теперь не просто устарели — они превращают ваш интернет в кирпич.
Три «тихих убийцы», о которых молчат 99% материалов
В полной статье я разбираю три архитектурных компромисса Windows, которые превращают ваш DoH в решето:
- Проклятие «Parallel A and AAAA» — Windows отправляет запросы параллельно по всем адаптерам. Если у вас стоит VMware или корпоративный VPN с обычным DNS, запрос уйдет туда в plaintext, игнорируя ваш DoH.
- Ловушка «Serve Stale» — Windows может отдавать устаревшие записи из кэша, открывая ворота для DNS Rebinding-атак.
- Параметр -AutoUpgrade — без явного указания $true Windows будет игнорировать ваш DoH-шаблон и продолжать отправлять запросы в открытом виде.
Детектор лжи: как поймать Windows на утечке
В полной статье я даю скрипт ETW-трассировки, который записывает каждое движение резолвера на уровне ядра. Вы увидите строки DNS_ERROR_RCODE_SERVER_FAILURE и Fallback to UDP — прямое доказательство того, что ваш «защищенный» браузер только что слил домен в открытом виде.
Это не теория. Это то, что происходит на вашем ПК прямо сейчас.
Боевой комплект: DNS Zero-Trust Hardening Script v2.1 для подписчиков Премиум"PRO"
В премиум-материале вы получите готовый скрипт, который:
- Отключает параллельные запросы IPv4/IPv6 через реестр
- Настраивает двойной контроль негативного кэша (NegativeCacheTime + MaxNegativeCacheTtl)
- Принудительно включает DoH с параметром -AutoUpgrade $true
- Физически блокирует Plain DNS на уровне Windows Filtering Platform (WFP)
- Не останавливает службу Dnscache (критично для 24H2+)
И главное — аварийный скрипт отката, который вернет всё в заводское состояние за 5 секунд, если ваш интернет «ляжет» из-за жестких политик.
Полная статья — это 3000 слов технического хардкора с инсайдами с форумов Microsoft Sysinternals, реестровыми ключами, которые не гуглятся, и ETW-трассировкой, которая покажет вам правду о вашей системе.
Читать полную статью могут только подписчики Дзен.Премиум.
Если вы хотите реального контроля над DNS в Windows 11 25H2 — подписывайтесь и читайте материал целиком. Там всё: от архитектурных изменений до готовых скриптов.
P.S. Если после прочтения вы не проверите Get-DnsClientDohServerAddress — вы продолжите жить в иллюзии безопасности. А ваш Windows продолжит сливать запросы.
Для подписчиков Дзен.Премиум. Уровень: Премиум "ПРО"