Dieser Artikel gilt speziell für die folgenden Versionen von Windows Server:
-
Windows Server, Version 2004 (Server Core-Installation)
-
Windows Server, Version 1909 (Server Core-Installation)
-
Windows Server, Version 1903 (Server Core-Installation)
-
Windows Server, Version 1803 (Server Core-Installation)
-
Windows Server 2019 (Server Core-Installation)
-
Windows Server 2019
-
Windows Server 2016 (Server Core-Installation)
-
Windows Server 2016
-
Windows Server 2012 R2 (Server Core-Installation)
-
Windows Server 2012 R2
-
Windows Server 2012 (Server Core-Installation)
-
Windows Server 2012
-
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
-
Windows Server 2008 R2 Service Pack 1 für x64-basierte Systeme
-
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
-
Windows Server 2008 für x64-basierte Systeme Service Pack 2
-
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
-
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Einführung
Am 14. Juli 2020 hat Microsoft ein Sicherheitsupdate für das in CVE-2020-1350 | Sicherheitsanfälligkeit in Windows DNS-Server bezüglich Remotecodeausführung beschriebene Problem veröffentlicht. Diese Empfehlung beschreibt eine kritische Sicherheitsanfälligkeit bezüglich Remotecodeausführung (Remote Code Execution, RCE), die sich auf Windows-Server auswirkt, für die die Ausführung der DNS-Server-Rolle konfiguriert ist. Es wird dringend empfohlen, dass Serveradministratoren dieses Sicherheitsupdate so schnell wie möglich anwenden.
Eine registrierungsbasierte Problemumgehung kann zum Schutz eines betroffenen Windows-Servers genutzt werden, und sie kann implementiert werden, ohne dass ein Administrator den Server neu starten muss. Aufgrund der Volatilität dieser Sicherheitsanfälligkeit müssen Administratoren möglicherweise die Problemumgehung implementieren, bevor sie das Sicherheitsupdate anwenden, damit sie so ihre Systeme mithilfe eines Standardbereitstellungsintervalls aktualisieren können.
Problemumgehung
Hoch Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden.Als Problemumgehung für diese Sicherheitsanfälligkeit nehmen Sie die folgende Registrierungsänderung vor, um die Größe des größten zulässigen eingehenden TCP-basierten DNS-Antwortpakets einzuschränken:
Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Wert = TcpReceivePacketSize Typ = DWORD Daten = 0xFF00Hinweise
-
Der Standardwert (gleichzeitig der maximale Wert) = 0xFFFF.
-
Wenn dieser Registrierungswert eingefügt oder über Gruppenrichtlinien auf einen Server angewendet wird, wird der Wert zwar akzeptiert, jedoch nicht auf den erwarteten Wert festgelegt. Der Wert 0x kann nicht in das Feld Wert eingegeben werden. Er kann jedoch von anderswo kopiert und eingefügt werden. Wenn Sie den Wert einfügen, erhalten Sie einen Dezimalwert von 4325120.
-
Diese Problemumgehung wendet FF00 als Wert an, welcher einen Dezimalwert von 65280 hat. Dieser Wert ist um 255 kleiner als der maximal zulässige Wert von 65.535.
-
Sie müssen den DNS-Dienst neu starten, damit die Registrierungsänderung wirksam wird. Führen Sie dazu an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:
net stop dns && net start dns
Nach der Implementierung dieser Problemumgehung kann ein Windows-DNS-Server für seine Clients keine DNS-Namen mehr auflösen, wenn die DNS-Antwort vom Upstreamserver größer als 65.280 Byte ist.
Wichtige Informationen zu dieser Problemumgehung
TCP-basierte DNS-Antwortpakete, deren Größe den empfohlenen Wert überschreitet, werden ohne Fehlermeldung gelöscht. Daher ist es möglich, dass einige Abfragen nicht beantwortet werden. Dies kann zu einem unerwarteten Ausfall führen. Ein DNS-Server wird von dieser Problemumgehung nur negativ beeinflusst, wenn er gültige TCP-Antworten erhält, die größer sind als entsprechend der vorherigen Risikominderung zulässig (über 65.280 Byte).DNS-Protokollierung und -Diagnose.
Der verringerte Wert hat wahrscheinlich keine Auswirkungen auf Standardbereitstellungen oder rekursive Abfragen. In einer bestimmten Umgebung kann jedoch ein nicht standardisierter Anwendungsfall auftreten. Um zu ermitteln, ob die Serverimplementierung durch diese Problemumgehung beeinträchtigt wird, sollten Sie die Diagnoseprotokollierung aktivieren und einen Beispielsatz erfassen, der für Ihren typischen Geschäftsfluss repräsentativ ist. Anschließend müssen Sie die Protokolldateien überprüfen, um das Auftreten von anormal großen TCP-Antwortpaketen zu identifizieren. Weitere Informationen finden Sie unterHäufig gestellte Fragen
Die Problemumgehung ist unter allen Versionen von Windows Server verfügbar, für die die DNS-Rolle ausgeführt wird.
Wir haben bestätigt, dass diese Registrierungseinstellung keine Auswirkungen auf DNS-Zonenübertragungen hat.
Nein, beide Optionen sind nicht erforderlich. Durch das Anwenden des Sicherheitsupdates auf ein System wird diese Sicherheitsanfälligkeit behoben. Die registrierungsbasierte Problemumgehung bietet Schutz für ein System, falls Sie das Sicherheitsupdate nicht sofort anwenden können, sollte aber nicht als Ersatz für das Sicherheitsupdate betrachtet werden. Nachdem das Update angewendet wurde, wird die Problemumgehung nicht mehr benötigt und sollte rückgängig gemacht werden.
Die Problemumgehung ist mit dem Sicherheitsupdate kompatibel. Die Registrierungsänderung ist jedoch nach dem Anwenden des Updates nicht mehr erforderlich. Nach den bewährten Verfahren sollten Registrierungsänderungen entfernt werden, wenn sie nicht mehr benötigt werden, um potenzielle zukünftige Auswirkungen zu verhindern, die sich aus der Ausführung einer nicht standardmäßigen Konfiguration ergeben könnten.
Es wird empfohlen, dass jeder, der DNS-Server ausführt, das Sicherheitsupdate so schnell wie möglich installiert. Wenn Sie das Update nicht sofort anwenden können, können Sie Ihre Umgebung schon vor der Installation des nächsten Updates gemäß Ihrer Standard-Trittfrequenz schützen.
Nein. Die Registrierungseinstellung ist spezifisch für eingehende TCP-basierte DNS-Antwortpakete und wirkt sich nicht global auf die Verarbeitung von TCP-Nachrichten durch ein System im Allgemeinen aus.