Configurer le DNS-over-HTTPS dans Chrome par GPO

I. Présentation

Dans ce tutoriel, nous allons voir comment activer ou désactiver le DNS over HTTPS dans Google Chrome, grâce à une GPO (stratégie de groupe).

Comme je le disais dans mon article dédié au DNS-over-HTTPS, cette norme est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.

Si vous souhaitez garder le contrôle et empêcher l'utiliser du DoH au sein de Chrome sur les postes que vous gérez, il est possible d'agir avec une stratégie de groupe. C'est ce que nous allons voir dans cet article.

🎥 Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.

II. Gérer le DNS-over-HTTPS par GPO

Pour la GPO, je vous laisse en créer une nouvelle ou utiliser une GPO existante, c'est à vous de voir.

Ensuite, pour gérer le DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, c'est au choix. Les deux paramètres associés au DoH sont situés à cet emplacement :

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome

Pour configurer le DoH au sein de Chrome, il faut activer le paramètre "Contrôle le mode DNS-over-HTTPS". Ensuite, il y a plusieurs valeurs possibles :

  • Activer DNS-over-HTTPS sans solution de secours à risque : utiliser exclusivement le DNS over HTTPS
  • Activer DNS-over-HTTPS avec solution de secours à risque : utiliser le DNS over HTTPS et recourir au DNS classique en cas d'erreur
  • Désactiver DNS-over-HTTPS : ne pas utiliser le DNS over HTTPS

En fonction de votre choix, si vous souhaitez activer ou désactiver le DoH, optez pour la bonne valeur.

Contrôle le mode DNS-over-HTTPS
GPO - Contrôle le mode DNS-over-HTTPS

Si vous souhaitez désactiver le DoH et empêcher qu'il soit activé par l'utilisateur, vous n'avez rien de plus à effectuer. Par contre, si vous souhaitez activer le DoH, il vous reste une dernière étape : spécifier le serveur DoH à utiliser.

Un second paramètre doit être configuré : "Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité". Ce paramètre doit être activé et il faut définir l'URL du résolveur DoH que l'on veut utiliser.

Voici un exemple pour utiliser celui de Quad9 : https://dns.quad9.net/dns-query.

GPO - Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité
GPO - Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité

Dans les deux cas, votre GPO est prête ! Dans Chrome, l'option "Utiliser un DNS sécurisé" est préconfigurée grâce à la GPO et elle ne peut pas être modifiée ! 😉

Chrome - Le DNS sécurisé géré par GPO
Chrome - Le DNS sécurisé géré par GPO
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.