美国国家安全局（NSA）发布了一份信息表，其中包含有关在传输层安全性（HTTPS）上通过超文本传输​​协议（HTTPS）（DoH）采用加密域名系统（DNS）的指南。如果配置正确，则强大的企业DNS控件可以帮助阻止威胁参与者使用许多初始访问，命令和控制以及渗透技术。

Internet的使用依赖于将域名（如“ nsa.gov”）转换为Internet协议地址。这是域名系统（DNS）的工作。过去，DNS查找通常是不加密的，因为它们必须由网络处理才能将流量定向到正确的位置。基于传输层安全性（HTTPS）的超文本传输​​协议（HTTPS）上的DNS，通常称为基于HTTPS的DNS（DoH），通过使用HTTPS来加密DNS请求，以通过客户端的DNS解析器提供隐私，完整性和“最后一英里”源身份验证。防止窃听和操纵DNS流量非常有用。尽管DoH可以帮助保护DNS请求的私密性和响应的完整性，使用DoH的企业将失去控制其网络中DNS使用的某些控制，除非它们仅允许使用其选择的DoH解析器。企业DNS控制可以防止网络威胁参与者使用多种威胁技术进行初始访问，命令和控制以及渗透。将DoH与外部解析器一起使用可能对不使用DNS安全控制的家庭或移动用户以及网络非常有用。但是，对于企业网络，NSA建议仅使用指定的企业DNS解析器，以适当利用必要的企业网络安全防御，促进对本地网络资源的访问并保护内部网络信息。企业DNS解析器可以是企业运营的DNS服务器，也可以是外部托管的服务。无论哪种方式，企业解析器应支持加密的DNS请求（例如DoH）以保护本地隐私和完整性，但所有其他加密的DNS解析器应被禁用和阻止。但是，如果企业DNS解析器不支持DoH，则应仍使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。本指南说明了DoH设计的目的以及适当配置企业网络以增加但不妨碍其DNS安全控制的重要性。以下建议将帮助企业网络所有者和管理员平衡DNS隐私和治理。但所有其他加密的DNS解析器都应被禁用和阻止。但是，如果企业DNS解析器不支持DoH，则应仍使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。本指南说明了DoH设计的目的以及适当配置企业网络以增加但不妨碍其DNS安全控制的重要性。以下建议将帮助企业网络所有者和管理员平衡DNS隐私和治理。但所有其他加密的DNS解析器都应被禁用和阻止。但是，如果企业DNS解析器不支持DoH，则应仍使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。本指南说明了DoH设计的目的以及适当配置企业网络以增加但不妨碍其DNS安全控制的重要性。以下建议将帮助企业网络所有者和管理员平衡DNS隐私和治理。仍应使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。本指南说明了DoH设计的目的以及适当配置企业网络以增加但不妨碍其DNS安全控制的重要性。以下建议将帮助企业网络所有者和管理员平衡DNS隐私和治理。仍应使用企业DNS解析器，并且应禁用和阻止所有加密的DNS，直到可以将加密的DNS功能完全集成到企业DNS基础结构中为止。本指南说明了DoH设计的目的以及适当配置企业网络以增加但不妨碍其DNS安全控制的重要性。以下建议将帮助企业网络所有者和管理员平衡DNS隐私和治理。