Na prática, este artigo mostra como implantar o DNS over HTTPS em ambientes corporativos com Windows Server 2025. Ou seja, você vai entender os ganhos de segurança, os riscos de uma implantação mal feita, as diferenças em relação a alternativas como DoT e DNSSEC, e o caminho prático do PowerShell ao monitoramento em produção.
Resumo
- O DNS over HTTPS no Windows Server 2025 reduz a exposição a ataques de interceptação DNS e atende a requisitos de compliance como o NIST SP 800-81r2.
- A configuração exige certificados TLS válidos, ajustes de firewall e testes de cliente antes de ir para produção.
- O verdadeiro diferencial está no monitoramento contínuo e na estratégia de rollback, não apenas na ativação do protocolo.
Introdução
De fato, o DNS over HTTPS Windows Server deixou de ser uma curiosidade de laboratório. Ele virou um requisito de segurança em ambientes que lidam com dados regulados. Com o lançamento do Windows Server 2025, a Microsoft tornou o suporte nativo ao DoH parte da pilha DNS padrão do sistema.
Por isso, a pergunta para o CIO não é mais “se” implantar, mas “como” fazer isso sem comprometer a estabilidade da rede e sem criar pontos cegos no monitoramento.
Além disso, muitos times de TI ativam o protocolo sem entender as limitações. Por isso, o resultado é uma falsa sensação de segurança. Nesse sentido, este artigo resolve isso com uma visão completa: do contexto estratégico ao rollback documentado.
Por que o DNS tradicional ainda é um risco corporativo
O DNS claro, sem criptografia, trafega na porta 53/UDP. Qualquer dispositivo na rota pode ler, modificar ou redirecionar as consultas. Em ambientes corporativos com redes híbridas, isso é um vetor de ataque relevante.
Segundo o relatório de segurança DNS da Cisco, 91% dos ataques de malware usam o DNS em alguma etapa da cadeia de comprometimento. Nesse contexto, o DNS sem criptografia é uma porta aberta.
Portanto, o DoH resolve um problema específico: ele encapsula as consultas DNS dentro de conexões HTTPS na porta 443. Dessa forma, o tráfego fica indistinguível de uma sessão web comum para um observador externo.
DNS over HTTPS vs. DNS-over-TLS e DNSSEC
Antes de implantar, o time técnico precisa entender as diferenças. Cada protocolo resolve um problema distinto.
- DoH (DNS over HTTPS): criptografa a consulta dentro de HTTP/2 na porta 443. Dificulta a inspeção por firewalls tradicionais.
- DoT (DNS over TLS): criptografa na porta 853. Mais fácil de monitorar e filtrar pela equipe de segurança.
- DNSSEC: valida a autenticidade da resposta, mas não criptografa o conteúdo da consulta.
No contexto corporativo, o DoH é preferido quando a meta é privacidade de consultas em redes não confiáveis. O DoT é mais indicado quando a equipe de segurança precisa manter visibilidade total sobre o tráfego DNS interno.
Contudo, as duas abordagens podem coexistir. Muitas empresas usam DoH para clientes externos e DoT para servidores internos.
Pré-requisitos para a implantação do DNS over HTTPS no Windows Server 2025
A implantação do DNS over HTTPS no Windows Server 2025 exige uma base bem definida antes de qualquer linha de PowerShell.
- Windows Server 2025 com função DNS instalada e atualizada.
- Certificado TLS válido emitido por uma CA confiável (interna ou pública).
- Acesso administrativo ao servidor e às políticas de firewall.
- Registro DNS interno apontando para o servidor com o nome do certificado.
Além disso, o ambiente precisa de um plano de rollback documentado antes de iniciar. Ambientes sem esse plano correm risco de indisponibilidade DNS em produção.
Sobre os certificados TLS para o DoH
O certificado precisa ter o Common Name ou o Subject Alternative Name compatível com o endereço do servidor DNS. Sem isso, os clientes rejeitam a conexão HTTPS.
Em ambientes com uma CA interna, use o Active Directory Certificate Services para emitir o certificado. Nesse caso, confirme que todos os clientes confiam na CA raiz antes de ativar o serviço.
Por sua vez, em ambientes que usam certificados públicos, garanta a renovação antes do vencimento. Um certificado expirado derruba o serviço de DoH para todos os clientes de uma vez.
Configuração do DNS over HTTPS com PowerShell
A configuração do DNS over HTTPS no Windows Server 2025 começa pela instalação do módulo DNS e pela criação do listener HTTPS. Os comandos abaixo cobrem o fluxo completo.
Em primeiro lugar, verifique se a função DNS está ativa no servidor:
Get-WindowsFeature -Name DNS
Em seguida, instale o certificado TLS no repositório do servidor. Use o certlm.msc ou importe via PowerShell com o comando Import-PfxCertificate.
Depois, ative o DoH no servidor com o cmdlet nativo do Windows Server 2025:
Set-DnsServerDoh -Enable $true -ServerAddress “0.0.0.0” -CertificateThumbprint “THUMBPRINT_DO_CERTIFICADO”
Assim, o servidor passa a aceitar consultas na porta 443 com criptografia TLS.
Regras de firewall para o DNS over HTTPS
Por isso, o firewall precisa permitir o tráfego de entrada na porta 443/TCP para o servidor DNS. Ao mesmo tempo, bloqueie a porta 53/UDP para clientes externos, se o objetivo for forçar o uso do DoH.
Use o PowerShell para criar a regra de forma rápida:
New-NetFirewallRule -DisplayName “DoH DNS” -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow
Contudo, se o ambiente usa um Next-Generation Firewall, configure a inspeção SSL para o tráfego DNS na porta 443. Do contrário, o time de segurança perde visibilidade sobre as consultas.
Teste de conectividade do cliente
Após a configuração, teste a resolução a partir de um cliente Windows 11 ou Windows 10 atualizado. Configure o servidor DNS do cliente para o endereço do servidor e force o uso do DoH via política de grupo ou configuração manual.
Para validar, use o comando:
Resolve-DnsName -Name “exemplo.com” -Server “SEU_SERVIDOR” -Type A
Além disso, capture o tráfego com o Wireshark para confirmar que as consultas estão saindo na porta 443 e não na 53. Esse passo é crítico antes de liberar para produção.
Impacto de performance e latência em ambientes corporativos
O DNS over HTTPS adiciona overhead de TLS em cada consulta. Em testes controlados, o aumento de latência fica entre 5ms e 20ms por consulta, dependendo da infraestrutura.
Para a maioria dos ambientes corporativos, esse custo é irrelevante. No entanto, em redes com alto volume de resolução DNS, como datacenters e ambientes de microsserviços, o impacto pode ser maior.
Por isso, avalie o uso de cache DNS local antes de implantar em servidores de alta demanda. O cache reduz o número de consultas externas e, dessa forma, minimiza o impacto do overhead TLS.
Segundo dados da Internet Systems Consortium, ambientes com cache bem configurado absorvem o overhead do DoH sem degradação perceptível para o usuário final.
Compatibilidade com sistemas legados
Sistemas mais antigos, como Windows Server 2016 e aplicações que fazem chamadas DNS diretas via socket, não suportam DoH nativamente. Nesse caso, o servidor atua como proxy DNS: recebe consultas na porta 53 dos clientes legados e encaminha via DoH para os resolvers externos.
Essa arquitetura garante a criptografia no segmento externo sem forçar a atualização imediata de todos os clientes. É, portanto, uma boa estratégia de migração incremental para ambientes com sistemas mistos.
Monitoramento do DNS over HTTPS após a implantação
Ativar o DoH sem monitoramento é trocar um risco por outro. O time de segurança precisa de visibilidade sobre as consultas mesmo com o tráfego criptografado.
No Windows Server 2025, ative o log de DNS com o cmdlet:
Set-DnsServerDiagnostics -All $true
Além disso, integre os logs com o seu SIEM. Ferramentas como Microsoft Sentinel ou Splunk conseguem ingerir eventos DNS e identificar padrões de consulta anômalos, mesmo quando o tráfego usa HTTPS.
Nesse sentido, o monitoramento de DNS é uma camada de detecção importante. Consultas para domínios gerados por algoritmo (DGA) ou volumes anormais de NXDOMAIN são indicadores de comprometimento.
Alertas e métricas para o time de operações
Defina alertas para os seguintes indicadores após implantar o DNS over HTTPS no Windows Server:
- Taxa de falha de resolução acima de 2% em janela de 5 minutos.
- Latência média de consulta acima de 50ms.
- Expiração de certificado TLS com menos de 30 dias de antecedência.
- Volume de consultas por cliente acima do baseline em 300%.
Portanto, o monitoramento não é opcional. Ele é a diferença entre uma implantação controlada e um incidente de disponibilidade em produção.
Procedimentos de rollback e troubleshooting
No entanto, o rollback do DoH no Windows Server 2025 é simples, mas precisa estar documentado antes da implantação. Não durante o incidente.
Para desativar o DNS over HTTPS, use:
Set-DnsServerDoh -Enable $false
Em seguida, restaure as regras de firewall para permitir tráfego na porta 53/UDP e valide a resolução DNS a partir dos clientes.
Erros mais comuns na implantação
Com base em implantações em ambientes corporativos, estes são os problemas mais frequentes:
- Certificado com CN errado: o cliente rejeita a conexão TLS e cai em timeout.
- Firewall bloqueando a porta 443 de saída: o servidor não consegue encaminhar consultas para resolvers externos via DoH.
- Cache do cliente DNS ainda apontando para o resolver antigo: execute ipconfig /flushdns nos clientes após a mudança.
- Ausência de monitoramento: falhas silenciosas levam horas para aparecer nos tickets de suporte.
Apesar disso, todos esses problemas são evitáveis com um checklist de validação antes de ir para produção. A documentação oficial da Microsoft sobre DoH cobre os pré-requisitos de forma detalhada.
Compliance e requisitos regulatórios
Por exemplo, para empresas que operam sob o LGPD, o PCI-DSS ou o HIPAA, o DNS sem criptografia representa um risco de conformidade. Consultas DNS expõem o comportamento de navegação de usuários e sistemas, o que pode ser considerado dado pessoal em alguns contextos regulatórios.
Nesse sentido, o DNS over HTTPS no Windows Server 2025 contribui diretamente para os controles de proteção de dados em trânsito. Além disso, ele facilita a evidência de conformidade em auditorias, pois o tráfego DNS passa a ser tratado como tráfego HTTPS padrão.
Segundo o guia de DNS seguro do NIST, a criptografia de consultas DNS é uma prática recomendada para ambientes que processam dados sensíveis.
Contudo, o DoH não substitui o DNSSEC. Os dois protocolos atuam em camadas diferentes. O DNSSEC valida a autenticidade da resposta. O DoH protege a consulta em trânsito. Para conformidade completa, use os dois.
Conclusão
O DNS over HTTPS no Windows Server 2025 é uma melhoria de segurança concreta e viável para ambientes corporativos. A configuração via PowerShell é direta. Os riscos estão na falta de planejamento, não na tecnologia em si.
Por isso, o caminho certo é: defina os pré-requisitos, implante em ambiente de homologação, valide com captura de tráfego, integre o monitoramento ao SIEM e documente o rollback antes de ir para produção.
Dessa forma, o time de TI entrega uma camada de segurança real ao negócio sem comprometer a disponibilidade dos serviços. O DoH não é o fim da jornada de segurança de DNS, mas é um passo que não pode mais ser ignorado em ambientes regulados.
Para aprofundar a visão sobre segurança de rede no Windows Server, consulte também o conteúdo sobre hardening de Windows Server 2025 e sobre DNSSEC no Windows Server para complementar a estratégia de proteção de DNS.
Perguntas frequentes
O DNS over HTTPS no Windows Server 2025 substitui o DNSSEC?
Não. Os dois protocolos atuam em camadas distintas. O DoH criptografa a consulta em trânsito e impede a interceptação. O DNSSEC valida a autenticidade da resposta e impede o envenenamento de cache. Em ambientes corporativos com requisitos de compliance, o ideal é usar os dois em conjunto.
Posso usar DNS over HTTPS em servidores com Windows Server 2019 ou 2022?
O suporte nativo ao DNS over HTTPS como servidor foi introduzido no Windows Server 2025. Nas versões anteriores, o servidor pode atuar como proxy DNS, recebendo consultas na porta 53 e encaminhando via DoH para resolvers externos. Contudo, a configuração nativa e o suporte completo exigem o Windows Server 2025.
O DoH afeta o desempenho da rede corporativa?
Em ambientes com cache DNS bem configurado, o impacto de latência do DNS over HTTPS fica entre 5ms e 20ms por consulta. Para a maioria das operações corporativas, esse overhead é irrelevante. Em ambientes de alta demanda, como datacenters com microsserviços, avalie o uso de cache local e monitore a latência média após a implantação.
Como evitar pontos cegos de segurança com o DoH ativo?
O tráfego DoH usa a porta 443, o que dificulta a inspeção por firewalls tradicionais. Por isso, configure a inspeção SSL no NGFW para o tráfego DNS na porta 443 e integre os logs do servidor DNS ao SIEM. Dessa forma, o time de segurança mantém visibilidade sobre as consultas sem precisar quebrar a criptografia no cliente.