Introduction
Ce document décrit comment maintenir et désactiver DNS sur HTTPS (DoH) dans Firefox et Chrome en utilisant des objets de stratégie de groupe (GPO) dans Cisco Umbrella.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur Cisco Umbrella.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
DNS sur HTTPS (DoH) est une fonctionnalité ajoutée à plusieurs navigateurs Web qui permet au DNS de contourner la pile DNS du système sur HTTPS. Dans de nombreux cas, vous pouvez désactiver cette fonctionnalité pour vous assurer que les navigateurs Web ne remplacent aucun paramètre Umbrella.
Firefox et Chrome offrent tous deux la fonctionnalité DoH et la possibilité d'empêcher l'utilisation DoH sur votre réseau et les ordinateurs gérés. Cependant, les implémentations DoH diffèrent considérablement d'un navigateur à l'autre.
Firefox
Firefox fonctionne avec un paramètre DoH par défaut où DNS est envoyé à CloudFlare par défaut à 1.1.1.1. Ce paramètre ne prend pas en compte le paramètre DNS du système.
Pour lutter contre cela, Umbrella par défaut définit le remplacement pour désactiver le DoH (voir notre article ici pour plus d'informations). Cependant, ce remplacement ne peut prendre effet que s'il n'y a pas de paramètres DoH définis explicitement. Pour s'assurer que le DoH n'est jamais activé pour détourner Firefox DNS des paramètres système, les paramètres GPO sont requis.
Pour désactiver, définissez la valeur de "network.trr.mode" sur 0. Pour plus d'informations, consultez les paramètres TRR de Firefox en détail.
Pour plus d'informations sur la gestion des stratégies d'entreprise dans Firefox, consultez la documentation Mozilla.
Chrome
Chrome a la prise en charge du DoH pour plusieurs fournisseurs, y compris Umbrella. Contrairement à Firefox, Chrome DoH peut seulement activer lorsque le système DNS est observé comme étant un fournisseur DNS participant. Par conséquent, il ne peut pas activer si le DNS système est un serveur DNS local ou le client d'itinérance, mais peut activer si le DNS local est 208.67.220.220 et 208.67.222.222. Par conséquent, Chrome ne dirige pas votre DNS loin du DNS système, mais l'améliore avec DoH.
Au cours des étapes initiales de l'expérience de déni de service Chrome, Chrome peut désactiver le déni de service si le périphérique est géré, s'il est joint à Active Directory ou si une stratégie d'entreprise est appliquée.
Voir le site Web Chrome pour plus de détails.
Pour plus d'informations sur la gestion des stratégies d'entreprise dans Chrome, consultez la documentation Chrome.
Commentaires