Тази статия се отнася специално за следните версии на Windows Server:
-
Windows Server, версия 2004 (основна инсталация на сървъра)
-
Windows Server, версия 1909 (основна инсталация на сървъра)
-
Windows Server, версия 1903 (основна инсталация на сървъра)
-
Windows Server, версия 1803 (основна инсталация на сървъра)
-
Windows Server 2019 (инсталация на ядрото на сървъра)
-
Windows Server 2019
-
Windows Server 2016 (инсталация на ядрото на сървъра)
-
Windows Server 2016
-
Windows Server 2012 R2 (основна инсталация на сървър)
-
Windows Server 2012 R2
-
Windows Server 2012 (инсталация на ядрото на сървъра)
-
Windows Server 2012
-
Windows Server 2008 R2 за x64-базиран системен сервизен пакет 1 (инсталация на ядрото на сървъра)
-
Windows Server 2008 R2 за x64-базиран системен сервизен пакет 1
-
Windows Server 2008 за x64-базирани системи Service Pack 2 (инсталация на ядрото на сървъра)
-
Windows Server 2008 за x64-базирани системи Service Pack 2
-
Windows Server 2008 за 32-битов системен сервизен пакет 2 (инсталация на ядрото на сървъра)
-
Windows Server 2008 за 32-битови операционни системи Service Pack 2
Въведение
На 14 юли 2020 г., Microsoft издаде актуализация на защитата за проблема, описан в CVE-2020-1350 | Уязвимост при изпълнение на отдалечен код на Windows DNS Server. Тази консултация описва уязвимост при критичния отдалечен код (РКЗ), която засяга сървърите на Windows, които са конфигурирани да изпълняват ролята на DNS сървър. Настоятелно препоръчваме администраторите на сървърите да прилагат актуализацията на защитата при най-ранното си удобство.
Заобиколно решение, базирано на системния регистър, може да се използва за защита на засегнат сървър на Windows и може да се приложи, без да се изисква администратор да рестартира сървъра. Поради волатилност на тази уязвимост администраторите може да се наложи да изпълнят заобиколното решение, преди да приложат актуализацията на защитата, за да могат да актуализират системите си, като използват стандартен каданс за разполагане.
Заобиколно решение
Важно Следвайте внимателно стъпките в този раздел. При неправилна промяна на регистъра е възможно да възникнат сериозни проблеми. Преди да я промените, архивирайте системния регистър за възстановяване , в случай че възникнат проблеми.
За да заобиколите тази уязвимост, направете следните промени в системния регистър, за да ограничите размера на най-големия входящ TCP-базиран DNS отговор, който е позволен:
Клавиш: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize Въведете = DWORD Данни за стойност = 0xFF00
Забележки
-
Данните за стойност по подразбиране (също максимум) стойности = 0xFFFF.
-
Ако тази стойност от системния регистър е поставена или е приложена към сървър чрез групови правила, стойността се приема, но всъщност не ще бъде зададена на очакваната стойност. Стойността 0x не може да бъде въведена в полето " данни за стойност ". Може обаче да се постави. Ако поставите стойността, получавате десетично число за 4325120.
-
Това заобиколно решение прилага FF00 като стойността, която има десетично число на 65280. Тази стойност е 255 по-малка от максималната позволена стойност на 65 535.
-
Трябва да рестартирате DNS услугата, за да влезе в сила промяната на системния регистър. За да направите това, изпълнете следната команда в команден ред с повишени стойности:
net stop dns && net start dns
След изпълнението на заобиколното решение Windows DNS Server няма да може да разрешава DNS имена за своите клиенти, ако DNS отговорът от сървъра за нагоре по веригата е по-голям от 65 280 байта.
Важна информация относно това заобиколно решение
TCP-базираните пакети с DNS отговори, които надвишават препоръчваната стойност, ще бъдат отхвърлени без грешка. Следователно е възможно някои заявки да не са отговори. Това може да доведе до неочаквана грешка. DNS сървърът ще бъде повлиян негативно от това заобиколно решение, само ако получи валидни TCP отговори, които са по-големи от разрешените в предишното намаляване (повече от 65 280 байта). Намалената стойност е невероятно да засегне стандартни разполагания или рекурсивни заявки. В дадена среда обаче може да съществува нестандартна употреба. За да определите дали изпълнението на сървъра ще бъде неблагоприятно повлияно от това заобиколно решение, трябва да разрешите диагностичното регистриране и да заснемете Примерен набор, който е представител на вашия типичен бизнес поток. След това ще трябва да прегледате регистрационните файлове, за да идентифицирате наличността на аномално големи пакети с отговори на TCP За повече информация вижте DNS регистриране и диагностика.
Често задавани въпроси
Заобиколното решение е достъпно за всички версии на Windows Server, изпълняващи ролята на DNS.
Ние потвърждаваме, че тази настройка на системния регистър не оказва влияние върху трансфери на DNS зони.
Не, и двете опции не са необходими. Прилагането на актуализацията на защитата към система разрешава тази уязвимост. Заобиколното решение, базирано на системния регистър, предоставя защита на системата, когато не можете да приложите актуализацията на защитата незабавно и не трябва да се счита за заместител на актуализацията на защитата. След като актуализирането е приложено, заобиколното решение вече не е необходимо и трябва да бъде премахнато.
Заобиколното решение е съвместимо с актуализацията на защитата. Промяната на системния регистър обаче вече няма да е необходима след прилагането на актуализацията. Най-добри практики диктуват тези модификации на системния регистър да бъдат премахнати, когато вече не са необходими за предотвратяване на евентуално бъдещо въздействие, което може да доведе до изпълнение на нестандартна конфигурация.
Препоръчваме на всеки, който изпълнява DNS сървъри, да инсталира актуализацията на защитата възможно най-скоро. Ако не можете да приложите актуализацията веднага, ще можете да защитите своята среда преди стандартната ви интонация за инсталиране на актуализации.
Не. Настройката на системния регистър е специфична за входящите пакети за DNS отговори на TCP и не влияе глобално върху обработката на TCP съобщения като цяло.
