По умолчанию весь DNS-трафик операционная система передаёт серверу через сеть в открытом виде. То есть, фактически любой,  у кого есть возможность как-то Ваш трафик перехватить, сможет увидеть какие сайты вы посещаете. Чтобы решить эту проблему в ОС Windows, компания Microsoft внедрила поддержку протокола DNS over HTTPS (сокращённо DoH) в Windows 11 и Windows Server 2022. И сейчас я хочу показать как этим пользоваться.

В этой инструкции я покажу как настроить DNS-over-HTTPS через интерфейс операционной системы и с помощью командной оболочки PowerShell. Использовать мы будем сервер Яндекс.DNS 77.88.8.8.

Настройка DNS over HTTPS в Windows 11

Самый простой способ включить шифрование DNS-запросов, с которым справится каждый, предоставляет нам интерфейс операционной системы.

Вам надо открыть параметры системы и открыть настройки сетевого интерфейса.
Ethernet-подключение:

Параметры => Сеть и Интернет => Ethernet => Назначение DNS-сервера => Изменить => Вручную

Беспроводная сеть Wi-Fi:

Параметры => Сеть и Интернет => Wi-Fi => Свойства => Назначение DNS-сервера => Изменить => Вручную

В моём примере я буду включать DoH на Wi-Fi подключении.

После нажатия на кнопку «Изменить» появится окно «Изменение параметров DNS для сети». Здесь обычно стоит значение «Автоматически (DHCP)», а мы меняем его на «Вручную» и включаем протокол IPv4. Если Вы активно используете уже IPv6, то включайте и настаивайте его.

Далее находим параметр «DNS по протоколу HTTPS», и включаем его. Тут есть два варианта. Первый — «Включено (автоматический шаблон)». Он используется для официально поддерживаемых DNS-серверов: Google, Cloudflare и Quad9. Как посмотреть весь этот список я покажу ниже. Мы же с Вами будем использовать второй вариант — «Включено (ручной шаблон)» и пропишем DNS-сервер от Яндекса: 77.88.8.8. Его шаблон протоколу HTTPS такой: https://common.dot.dns.yandex.net/dns-query. Нажимаем кнопку «Сохранить» для применения настроек.

Как включить шифрование DNS запросов через PowelShell

Шаг 1. Выбор DNS-сервера

В Windows уже есть встроенный список публичных DNS-серверов с поддержкой DoH, например:

Quad9 - 9.9.9.9
Google — 8.8.8.8
Cloudflare — 1.1.1.1
и т.д.

Вывести этот список в командной оболочке PowerShell Вам поможет команда Get-DNSClientDohServerAddress.

Вы можете использовать любой DNS из предложенного системой списка или добавить в него DNS-сервер от Яндекса — 77.88.8.8. Кроме его IP адреса, нам нужно указать и его URL-адрес — «https://common.dot.dns.yandex.net/dns-query«. Добавляем сервер в список

$DNSServer="77.88.8.8"
Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://dns.yandex.ru/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Шаг 2. Включение DNS over HTTPS на сетевом интерфейсе

Задаём IP Яндекс.DNS как предпочтительный для адаптера Ethernet0:

Set-DnsClientServerAddress Ethernet0 -ServerAddresses ($DNSServer)

Если у Вас имя адаптера отличается от указанного в примере, то в командах надо будет внести соответствующие исправления.

Включаем  DoH для интерфейса Ethernet0:

$i = Get-NetAdapter -Physical -Name Ethernet0
$s1 = "HKLM:System\CurrentControlSet\Services\Dnscache\InterfaceSpecificParameters\" + $i.InterfaceGuid + "\DohInterfaceSettings\Doh\$DNSServer"
New-Item -Path $s1 -Force | New-ItemProperty -Name "DohFlags" -Value 1 -PropertyType QWORD
Clear-DnsClientCache

Теперь можно проверять шифруются ли наши DNS-запросы или нет.

Как проверить работает DNS-over-HTTPS или нет

Проверить работу DNS-over-HTTPS можно несколькими способами. Первый — это разнообразные сервисы в Интернете. Например, DNS leak best. Заходим на сайт, нажимаем кнопку «Extended test» и ждём пока пройдёт тестирование.

В результатах Вы должны будете увидеть указанные DNS в столбце ISP. В моём примере всё верно. Если бы DoH не работала, то вместо Яндекса там «светились» бы серверы провайдера.

Второй способ проверить работу DoH — это использование встроенного в Windows анализатора сетевого трафика Packetmon. Нам нужны всего три команды:

1. Сброс всех фильтров пакетов сетевого трафика:

pktmon filter remove

2. Добавление своего фильтра:

pktmon filter add -p 53

Packetmon будет ловить все пакеты на 53-ем TCP порту

3. Запуск анализа трафика:

pktmon start --etw -m real-time

Теперь надо в браузере открыть несколько разных сайтов, а потом посмотреть в вывод Packetmon’а:

А здесь, как мы видим, ничего нет. Запросы через обычный DNS не бегают.  Чего мы и добивались! Теперь все DNS-запросы ходят только через зашифрованное HTTPS-соединение и отследить их практически невозможно!

В этой статье мы поговорим о команде history, которая позволяет просматривать список ранее выполненных команд, искать по списку и манипулировать файлом истории. Запустить её на выполнение — половина дела. Если Вы — системный администратор, то эти несколько настроек точно пригодятся для управления историей команд в Bash и значительно повысят удобство и эффективность. Погнали!

Записываем введённые команды сразу в файл:

PROMPT_COMMAND='history -a'

Добавляем метку времени к каждой команде. Используем формат: ГГГГ-ММ-ДД ЧЧ:ММ:СС:

export HISTTIMEFORMAT='%F %T '

По умолчанию в Bash хранится всего 500 последних команд.  Давайте увеличим этот лимит до 10 000:

export HISTSIZE=10000

Исключим, при необходимости, простейшие команды вроде ls или pwd. Вот так:

export HISTIGNORE="ls:pwd:history:w:htop:top"

Наверное каждый пользователь Linux знает, что если перед вводом команды поставить пробел — она не попадёт в историю:

export HISTCONTROL=ignorespace

После того, как Вы внесли настройки в ~/.bashrc — примените их:

source ~/.bashrc

Во время поиска в истории Вы можете использовать фильтрацию через «grep» или Ctrl+r:

history | grep 'apt install'

Регулярная смена пароля учётной записи через определённые промежуток времени — это стандартная практика по соблюдению информационной безопасности в компаниях. Некоторые нерадивые системные администраторы эти пренебрегают, включая так называемый  «бессрочный пароль». Это в корне неправильно. В крайнем случае, если пользователи очень сильно просят, можно  продлить срок действия пароля в Active Directory. И сейчас я покажу как это сделать!

Как правило, для продления пароля, обновляют дату смены пароля с помощью команды PowerShell за два простых шага. Вот так:

1. Установить значение pwdLastSet на 0:

Эта команда устанавливает атрибут pwdLastSet в значение 0. Для системы это значит, что пользователь должен немедленно сменить пароль.

2. Установить значение pwdLastSet обратно на -1:

Эта команда обновляет атрибут pwdLastSet на текущее время, продлевая таким образом срок действия пароля.

Profit! Для системы эти простые действия выглядит так, как будто пользователь только что изменил пароль и срок его использования будет отсчитываться с момента выполнения этих команд! Быстро и просто!

NMCLI (Network Manager Command Line Interface) — это инструмент командной строки для управления сетевыми подключениями и интерфейсами на системах с NetworkManager, который широко используется в Linux. NMCLI позволяет настроить сеть, управлять подключениями, диагностировать проблемы и получать информацию о текущих соединениях, не прибегая к графическому интерфейсу.

Основные функции NMCLI

• Управление подключениями: Создание, изменение, удаление или активация сетевых подключений.
• Управление устройствами: Включение или отключение сетевых интерфейсов (например, Wi-Fi или Ethernet).
• Диагностика: Просмотр состояния сети, проверка маршрутов, IP-адресов и других параметров.
• Скрипты и автоматизация: Интеграция с bash-скриптами и автоматизация настройки сети.

Преимущества NMCLI

• Удобство для серверов: Когда нет доступа к графическому интерфейсу.
• Интеграция с автоматизацией: Легко использовать в скриптах.
• Широкие возможности: Управление всеми аспектами сетевых подключений.
• NMCLI — мощный инструмент для сетевой настройки и администрирования, который существенно упрощает работу с NetworkManager через консоль.

Основные команды NMCLI

1. Проверка состояния NetworkManager:

nmcli general status

Выводит общее состояние NetworkManager, включая текущее соединение и статус устройств.

2. Список доступных устройств:

nmcli device

Отображает список всех сетевых устройств, их состояние и тип подключения.

3. Список всех сетевых подключений:

nmcli connection show

Показывает сохранённые профили подключений и их текущий статус.

4. Подключение к сети:

Для проводного соединения:

nmcli connection up <имя_подключения>

Для беспроводной сети (Wi-Fi):

nmcli device wifi connect <SSID> password <пароль>

5. Создание нового подключения:

Для статического IP:

nmcli connection add type ethernet con-name MyEthernet ifname eth0 ip4 192.168.1.100/24 gw4 192.168.1.1

Для Wi-Fi:

nmcli connection add type wifi con-name MyWiFi ifname wlan0 ssid MySSID
nmcli connection modify MyWiFi wifi-sec.key-mgmt wpa-psk wifi-sec.psk "пароль"

6. Удаление подключения:

nmcli connection delete <имя_подключения>

7. Отключение устройства:

nmcli device disconnect <имя_устройства>

8. Сканирование Wi-Fi сетей:

nmcli device wifi list

Выводит список всех доступных Wi-Fi сетей с их параметрами.

Пример использования NMCLI на практике

Для настройки сетевых параметров используйте следующие команды.

Изменение имени сервера

hostnamectl set-hostname my.server.cool

Показать сетевые устройства

nmcli device

Установить адрес IPv4

nmcli connection modify eth0 ipv4.addresses 192.168.0.2/24

Установить шлюз

nmcli connection modify eth0 ipv4.gateway 192.168.0.1

Установить DNS (несколько DNS указывайте через пробел – ipv4.dns “192.168.0.252 192.168.0.253 192.168.0.254”

nmcli connection modify eth0 ipv4.dns 192.168.0.254

Установить имя домена

nmcli connection modify eth0 ipv4.dns-search srv.world

Поменять режим работы DHCP (в конце укажите manual для ручной настройки и auto для автоматической)

nmcli connection modify eth0 ipv4.method manual

Перезапустить интерфейс для применения изменений

nmcli connection down eth0; nmcli connection up eth0

Убедиться что изменения сделаны

nmcli device show eth0

Проверка состояния интерфейса

ip address show

Любой, кто скачивает ISO-образы Windows или иных операционных систем с различных сайтов или торрентов — рискует получить уже зараженную троянами или даже майнерами систему. Потому, проверка контрольных сумм загруженных в образов ISO не просто необходима, а просто обязательна. Это позволить убедится и быть уверенным, что загруженный образ не был изменен или же поврежден в процессе загрузки.
Чтобы проверить контрольную сумму ISO образа, сначала надо будет скачать соответствующий файл контрольной суммы. Обычно он лежит в той же папке, что и сам ISO-образ. Файл контрольной суммы, как правило, имеет такое же имя, что и сам ISO-образ, разница будет в том, что он будет заканчиваться так: -sha1.sum, либо -sha256.sum.

Чтобы посмотреть контрольную сумму скаченного ISO-файла в Windows 10 или Windows 11 — запустите командную оболочку PowerShell и в ней выполните команду:

Get-FileHash .\file.iso -Algorithm SHA256

Думаю, понятно, что в место «file.iso» Вам надо будет указать имя своего образа и путь к нему.

Вот пример выполнения такой команды:

В этом примере образ linuxmint-64bit.iso лежи в папке C:\temp.
Теперь можно сравнить полученную контрольную сумму с ожидаемой. Если они различаются, то лучше этот образ не использовать, а скачать другой.