Tento článek se týká konkrétně následujících verzí Windows serveru:
-
Windows Server verze 2004 (instalace jádra serveru)
-
Windows Server verze 1909 (instalace jádra serveru)
-
Windows Server verze 1903 (instalace jádra serveru)
-
Windows Server verze 1803 (instalace jádra serveru)
-
Windows Server 2019 (instalace v serveru Core)
-
Windows Server 2019
-
Windows Server 2016 (instalace v serveru Core)
-
Windows Server 2016
-
Windows Server 2012 R2 (instalace Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 (instalace v serveru Core)
-
Windows Server 2012
-
Windows Server 2008 R2 Service Pack 1 (instalace jádra serveru)
-
Windows Server 2008 R2 pro systémy x64 Service Pack 1
-
Windows Server 2008 pro systémy s procesorem x64 Service Pack 2 (instalace Server Core)
-
Windows Server 2008 pro systémy s procesorem x64 Service Pack 2
-
Windows Server 2008 pro 32-bit Service Pack 2 (instalace jádra serveru)
-
Windows Server 2008 pro 32-bit Systems Service Pack 2
Úvod
14. července 2020 vydala společnost Microsoft aktualizaci zabezpečení, která řeší problém popsaný v bulletinu CVE-2020-1350 | Chyba zabezpečení serveru DNS v systému Windows umožňující vzdálené spuštění kódu Tento informační zpravodaj popisuje chybu zabezpečení typu kritická vzdálená spuštění (RCE), která se týká serverů Windows konfigurovaných pro spuštění role serveru DNS. Důrazně doporučujeme, aby správci serveru tuto aktualizaci zabezpečení nainstalovali co nejdříve.
K ochraně ovlivněného serveru Windows můžete použít zástupné řešení založené na registru a může se implementovat bez nutnosti správce restartovat server. Z důvodu nestálosti této chyby zabezpečení může se stát, že správci budou muset toto alternativní řešení implementovat před instalací aktualizace zabezpečení, aby mohli tyto systémy aktualizovat pomocí standardního nasazení četnost.
Alternativní řešení
Důležité Dodržujte prosím pečlivě postup uvedený v této části. V případě nesprávné úpravy registru by mohly nastat závažné problémy. Než ho upravíte, zálohujte registr pro obnovení v případě, že dojde k problémům.
Pokud chcete tuto chybu zabezpečení vyřešit, udělejte následující změnu registru, která omezí velikost největšího příchozího paketu odpovědí DNS založeného na protokolu TCP, který je povolen:
Klíč: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Hodnota = TcpReceivePacketSize Zadejte = DWORD Hodnota data = 0xFF00
Poznámky:
-
Výchozí (taky maximální) údaj hodnoty = 0xFFFF.
-
Pokud je tato hodnota registru vložena nebo použita na server prostřednictvím zásad skupiny, bude hodnota přijata, ale nebude ve skutečnosti nastavena na požadovanou hodnotu. Hodnotu 0x nelze do pole Údaj hodnoty zadejte. Je však možné ho vložit. Pokud vložíte hodnotu, získáte desítkovou hodnotu 4325120.
-
Toto alternativní řešení použije FF00 jako hodnotu, která má desítkovou hodnotu 65280. Tato hodnota je 255 menší než maximální povolená hodnota 65 535.
-
Změna registru se projeví až po restartování služby DNS. To provedete spuštěním následujícího příkazu na příkazovém řádku se zvýšenými oprávněními:
net stop dns && net start dns
Po implementaci tohoto řešení nebude server DNS systému Windows schopen přeložit názvy DNS pro jeho klienty, pokud je odpověď DNS ze serveru pro odesílání dat větší než 65 280 bajtů.
Důležité informace o tomto řešení
Pakety odpovědí DNS, které přesahují doporučenou hodnotu, budou zahozeny bez chyby. Proto je možné, že některé dotazy nemusí být zodpovězeny. To může způsobit neočekávané selhání. Tímto alternativním řešením bude server DNS negativně ovlivňovat jenom v případě, že obdrží platné odpovědi TCP, které jsou větší než povolené v předchozím řešení (více než 65 280 bajtů). Snížená hodnota neovlivňuje standardní nasazení nebo rekurzivní dotazy. V daném prostředí však může existovat nestandardní případ použití. Chcete-li zjistit, zda toto alternativní řešení nepříznivě ovlivňuje implementaci serveru, povolte diagnostické protokolování a zachyťte sadu ukázek, která je reprezentativní pro běžný firemní tok. Pak budete muset zkontrolovat soubory protokolu a zjistit přítomnost anomalously velkých paketů TCP s odpovědí Další informace najdete v tématu protokolování a diagnostika DNS.
Časté dotazy
Alternativní řešení je dostupné na všech verzích Windows serveru, na kterém běží role DNS.
Potvrdili jsme, že toto nastavení registru neovlivňuje přenosy zóny DNS.
Ne, obě možnosti nejsou povinné. Tuto chybu zabezpečení řeší instalace aktualizace zabezpečení v systému. Alternativní řešení zajišťuje ochranu systému, když nemůžete nainstalovat aktualizaci zabezpečení okamžitě a nechcete být považováni za náhradu za aktualizaci zabezpečení. Po použití aktualizace už není alternativní řešení nadále potřeba a mělo by být odebráno.
Alternativní řešení je kompatibilní s aktualizací zabezpečení. Po instalaci aktualizace se však změna registru již nebude vyžadovat. Osvědčené postupy určují, že změny v registru se odeberou, když už nejsou potřeba k tomu, aby se předešlo potenciálnímu budoucímu dopadu, který by mohl vést k nestandardní konfiguraci.
Doporučujeme, aby každý, kdo spouští servery DNS, co nejdříve instalovali aktualizaci zabezpečení. Pokud tuto aktualizaci nemůžete použít hned, budete moct chránit svoje prostředí před standardním četnost pro instalaci aktualizací.
Ne. Nastavení registru je závislé na příchozích paketech odpovědí DNS založených na protokolu TCP a neovlivňuje globální zpracování zpráv TCP.