Configurer le DNS-over-HTTPS dans Chrome par GPO
I. Présentation
Dans ce tutoriel, nous allons voir comment activer ou désactiver le DNS over HTTPS dans Google Chrome, grâce à une GPO (stratégie de groupe).
Comme je le disais dans mon article dédié au DNS-over-HTTPS, cette norme est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.
Si vous souhaitez garder le contrôle et empêcher l'utiliser du DoH au sein de Chrome sur les postes que vous gérez, il est possible d'agir avec une stratégie de groupe. C'est ce que nous allons voir dans cet article.
🎥 Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.
II. Gérer le DNS-over-HTTPS par GPO
Pour la GPO, je vous laisse en créer une nouvelle ou utiliser une GPO existante, c'est à vous de voir.
Ensuite, pour gérer le DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, c'est au choix. Les deux paramètres associés au DoH sont situés à cet emplacement :
Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome
Pour configurer le DoH au sein de Chrome, il faut activer le paramètre "Contrôle le mode DNS-over-HTTPS". Ensuite, il y a plusieurs valeurs possibles :
- Activer DNS-over-HTTPS sans solution de secours à risque : utiliser exclusivement le DNS over HTTPS
- Activer DNS-over-HTTPS avec solution de secours à risque : utiliser le DNS over HTTPS et recourir au DNS classique en cas d'erreur
- Désactiver DNS-over-HTTPS : ne pas utiliser le DNS over HTTPS
En fonction de votre choix, si vous souhaitez activer ou désactiver le DoH, optez pour la bonne valeur.
Si vous souhaitez désactiver le DoH et empêcher qu'il soit activé par l'utilisateur, vous n'avez rien de plus à effectuer. Par contre, si vous souhaitez activer le DoH, il vous reste une dernière étape : spécifier le serveur DoH à utiliser.
Un second paramètre doit être configuré : "Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité". Ce paramètre doit être activé et il faut définir l'URL du résolveur DoH que l'on veut utiliser.
Voici un exemple pour utiliser celui de Quad9 : https://dns.quad9.net/dns-query.
Dans les deux cas, votre GPO est prête ! Dans Chrome, l'option "Utiliser un DNS sécurisé" est préconfigurée grâce à la GPO et elle ne peut pas être modifiée ! 😉
