当你在地址栏输入网站名称时，浏览器发送您的请求到 DNS 服务器。DNS 服务器决定所请求网站的 IP 地址。数据使用常规非加密文本协议从您的计算机传输到该 DNS 服务器。入侵者可以截取您所访问的网站的信息并利用它。要防止此类事情发生，该信息应该通过 HTTPS 协议传输。接收和分析此类请求的服务器叫DNS over HTTPS (或 DoH) 服务器。使用的DoH的优势有很多，防止运营商的DNS劫持，防止上网隐私泄露等。

目前windows11系统已支持原生支持DoH，本文将告诉你如何在新系统上启用它。win10的DoH可以使用cloudflared实现，其他的工具比如smartdns也可以，但原生win10需要特定版本以上才支持，适用于win10版本大于等于19628的系统，不建议使用，太麻烦了，而且目前没有标准化的流程，建议等以后换上win11系统再用。

打开系统设置，选择【网络和Internet】，然后根据自己电脑的网络情况选择【WLAN】或【以太网】。注意WIFI和以太网的设置界面不一样。

如果是WLAN(无线网)，选择【硬件属性】，然后点击DNS服务器分配旁边的【编辑】

如果你是以太网（网线连接），好像不用额外点击硬件属性那一步，可以直接点dns旁边的编辑。

点击编辑后，我们把自动改为手动，然后把IPV4开关打开，根据自己的网络情况可以选择是否打开IPV6(本文没涉及)。可以看到DNS设置

首选DNS可以设置为下列服务器，并修改“首选的DNS加密”为“仅加密(通过HTTPS的DNS)”。

Cloudflare: 
1.1.1.1  
1.0.0.1  
Google: 
8.8.8.8 
8.8.4.4  
Quad9: 
9.9.9.9 
149.112.112.112

上面这些是国外的公共DNS服务器，已经内置在windows的DNS服务器系统了，对于国内的网络状况，还是用阿里的DNS服务器更稳定一些

ali DNS: 
223.5.5.5
223.6.6.6

如果使用国内DNS服务器，则需要把国内支持DNS（DoH）加密的服务器添加到Windows列表中，否则“首选的DNS加密”是灰色的、不能选择的，需要先执行命令，把阿里的DNS加入到windows的DNS服务器列表中

netsh dns add encryption 223.5.5.5 "https://dns.alidns.com/dns-query" no no

这样就可以把”首选的DNS加密”设置为“仅加密(通过HTTPS的DNS)”了。

综上，这样启用windows 11的原生DoH了。