KB4569509: إرشادات لمشكله عدم حصانه خادم DNS CVE-2020-1350

تنطبق هذه المقالة بشكل خاص علي إصدارات خادم Windows التالية:

  • Windows Server ، الإصدار 2004 (التثبيت الأساسي للخادم)

  • Windows Server ، الإصدار 1909 (التثبيت الأساسي للخادم)

  • Windows Server ، الإصدار 1903 (التثبيت الأساسي للخادم)

  • Windows Server ، الإصدار 1803 (التثبيت الأساسي للخادم)

  • Windows Server 2019 (تثبيت الخادم الأساسي)

  • Windows Server 2019

  • Windows Server 2016 (تثبيت الخادم الأساسي)

  • Windows Server 2016

  • Windows Server 2012 R2 (تثبيت الخادم الأساسي)

  • Windows Server 2012 R2

  • Windows Server 2012 (تثبيت الخادم الأساسي)

  • Windows Server 2012

  • Windows Server 2008 R2 للانظمه المستندة إلى x64 Service Pack 1 (تثبيت الخادم الأساسي)

  • نظام التشغيل Windows Server 2008 R2 للانظمه المستندة إلى x64 Service Pack 1

  • نظام التشغيل Windows Server 2008 ل Systems Service Pack 2 (تثبيت الخادم الأساسي)

  • نظام التشغيل Windows Server 2008 للانظمه المستندة إلى x64 Service Pack 2

  • نظام التشغيل Windows Server 2008 for 32 بت Service Pack 2 (تثبيت الخادم الأساسي)

  • Windows Server 2008 32 ل Systems Service Pack 2

مقدمة

في 14 يوليو 2020 ، أصدرت Microsoft تحديث أمان للمشكلة الموضحة في CVE-2020-1350 | عدم حصانه تنفيذ التعليمات البرمجية البعيدة ل Windows DNS Server. تصف هذه المقالة الارشاديه مشكله عدم حصانه تنفيذ التعليمات البرمجية الضرورية (رس) التي تؤثر علي خوادم Windows التي تم تكوينها لتشغيل دور خادم DNS. نوصي بشده بان يقوم مسؤولو الخادم بتطبيق تحديث الأمان بأفضل ما فيه.

يمكن استخدام الحل البديل القائم علي التسجيل للمساعدة علي حماية خادم Windows المتاثر ، ويمكن تطبيقه دون الحاجة إلى المسؤول لأعاده تشغيل الخادم. بسبب فولاتيليتي هذه الثغرة الامنيه ، قد يتعين علي المسؤولين تطبيق الحل البديل قبل تطبيق تحديث الأمان لتمكينه من تحديث أنظمتهم باستخدام إيقاع النشر القياسي.

الحل البديل

هام اتبع الخطوات الواردة في هذا القسم بعناية. قد تحدث مشاكل خطيره إذا قمت بتعديل السجل بشكل غير صحيح. قبل تعديله ، يمكنك إنشاء نسخه احتياطيه من السجل لاجراء الاستعادة في حاله حدوث مشاكل.

لحل هذه المشكلة ، قم باجراء تغييرات السجل التالية لتقييد حجم الحزمة الأكبر المسموح بها في البروتوكول

المفتاح: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = تكبريسيفيباكيتسيزي  Type = DWORD بيانات القيمة = 0Xff00

ملاحظات

  • القيمة الافتراضية (أيضا الحد الأقصى للبيانات) = 0xFFFF.

  • إذا تم لصق قيمه السجل هذه أو تم تطبيقها علي خادم عبر "نهج المجموعة" ، سيتم قبول القيمة ولكن لن يتم تعيينها بالفعل علي القيمة التي تتوقعها. لا يمكن كتابه القيمة 0x في المربع " بيانات القيمة ". ومع ذلك ، يمكن لصقها. إذا قمت بلصق القيمة ، ستحصل علي القيمة العشرية 4325120.

  • يعمل هذا الحل البديل علي تطبيق الFF00 كقيمه القيمة العشرية 65280. هذه القيمة 255 اقل من الحد الأقصى المسموح به القيمة 65,535.

  • يجب أعاده تشغيل خدمه DNS لكي يدخل تغيير التسجيل حيز التنفيذ. للقيام بذلك ، قم بتشغيل الأمر التالي في موجه أوامر غير مقيد:

net stop dns && net start dns

بعد تطبيق الحل البديل ، لن يتمكن خادم Windows DNS من حل أسماء DNS لعملاءه إذا كانت استجابه DNS من خادم اعلي أكبر من 65,280 بايت.

معلومات هامه حول هذا الحل البديل

سيتم إسقاط حزم استجابه DNS المستندة إلى TCP التي تتجاوز القيمة الموصي بها بدون أخطاء. ولذلك ، من الممكن ان لا تتم الاجابه علي بعض الاستعلامات. قد يؤدي ذلك إلى حدوث عطل غير متوقع. سيتاثر خادم DNS سلبيا بهذا الحل البديل فقط إذا كان يتلقى استجابات TCP صالحه أكبر من المسموح بها في التخفيف السابق (أكثر من 65,280 بايت). من المستبعد ان تؤثر القيمة المخفضة علي عمليات النشر القياسية أو الاستعلامات المتكررة. ومع ذلك ، قد تتوفر حاله الاستخدام غير القياسية في بيئة معينه. لتحديد ما إذا كان تطبيق الخادم سيتاثر بشكل عكسي باستخدام هذا الحل البديل ، يجب تمكين التسجيل التشخيصي ، وتسجيل المجموعة النموذجية التي تكون ممثلا لسير عملك النموذجي. بعد ذلك ، سيتعين عليك مراجعه ملفات السجلات لتحديد حاله وجود حزم استجابات TCP الكبيرة أنومالوسلي لمزيد من المعلومات ، راجع تسجيل الدخول إلى DNS وتشخيصاته.

المتداولة:

يتوفر الحل البديل علي كل إصدارات Windows Server التي تقوم بتشغيل دور DNS. 

أقرنا ان اعداد السجل هذا لا يؤثر علي عمليات نقل مناطق DNS. 

لا ، الخياران غير مطلوبين. يؤدي تطبيق تحديث الأمان إلى نظام إلى حل هذه المشكلة. توفر الحلول البديلة المستندة إلى التسجيل حماية لنظام عندما لا تتمكن من تطبيق التحديث الأمني علي الفور ولا يجب اعتباره كبديل لتحديث الأمان. بعد تطبيق التحديث ، لم تعد هناك حاجه إلى الحل البديل ويجب ازالته.

الحل البديل متوافق مع تحديث الأمان. مع ذلك ، لن يعود بحاجه إلى تعديل السجل بعد تطبيق التحديث. تقوم أفضل الممارسات بإملاء انه تمت أزاله تعديلات السجلات عندما لا تكون بحاجه اليها لمنع التاثيرات المحتملة الممكنة التي قد تنتج عن تشغيل تكوين غير قياسي.   

نوصي بقيام اي شخص يقوم بتشغيل خوادم DNS بتثبيت تحديث الأمان في أسرع وقت ممكن. إذا لم تتمكن من تطبيق التحديث علي الفور ، ستتمكن من حماية بيئتك قبل الوتيرة القياسية لتثبيت التحديثات.

لا. اعداد السجل خاص بحزم استجابات DNS التي تستند إلى TCP الوارد ولا يؤثر بشكل عام علي معالجه النظام لرسائل TCP بالعام.

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×