Μετάβαση στο κύριο περιεχόμενο
Υποστήριξη
Είσοδος
Είσοδος με Microsoft
Είσοδος ή δημιουργία λογαριασμού.
Γεια σας,
Επιλέξτε διαφορετικό λογαριασμό.
Έχετε πολλούς λογαριασμούς
Επιλέξτε τον λογαριασμό με τον οποίο θέλετε να εισέλθετε.

Αυτό το άρθρο ισχύει ειδικά για τις ακόλουθες εκδόσεις του Windows Server:

  • Windows Server, έκδοση 2004 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server, έκδοση 1909 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server, έκδοση 1903 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server, έκδοση 1803 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2019 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2019

  • Windows Server 2016 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2016

  • Windows Server 2012 R2 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2012 R2

  • Windows Server 2012 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2012

  • Windows Server 2008 R2 για συστήματα που βασίζονται σε x64 Service Pack 1 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2008 R2 για συστήματα που βασίζονται σε x64 Service Pack 1

  • Windows Server 2008 για συστήματα που βασίζονται σε x64 Service Pack 2 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2008 για συστήματα που βασίζονται σε x64 Service Pack 2

  • Windows Server 2008 για το 32-bit Systems Service Pack 2 (εγκατάσταση πυρήνα διακομιστή)

  • Windows Server 2008 για το 32-bit Systems Service Pack 2

Εισαγωγή

Στις 14 Ιουλίου 2020, η Microsoft κυκλοφόρησε μια ενημερωμένη έκδοση ασφαλείας για το ζήτημα που περιγράφεται στο CVE-2020-1350 | Ευπάθεια εκτέλεσης απομακρυσμένου κώδικα του Windows DNS Server. Αυτό το συμβουλευτικό στοιχείο περιγράφει μια κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα (ΠΠΑ) που επηρεάζει τους διακομιστές των Windows που έχουν ρυθμιστεί για την εκτέλεση του ρόλου διακομιστή DNS. Συνιστούμε ανεπιφύλακτα στους διαχειριστές διακομιστών να εφαρμόσουν την ενημέρωση ασφαλείας όσο το δυνατόν συντομότερα.

Μια λύση που βασίζεται στο μητρώο μπορεί να χρησιμοποιηθεί για την προστασία ενός επηρεαζόμενου διακομιστή των Windows και μπορεί να υλοποιηθεί χωρίς να απαιτείται από ένα διαχειριστή να επανεκκινήσει το διακομιστή. Λόγω της αστάθειας αυτής της ευπάθειας, οι διαχειριστές μπορεί να πρέπει να εφαρμόσουν τη λύση πριν εφαρμόσουν την ενημέρωση ασφαλείας, ώστε να τους επιτρέψουν να ενημερώσουν τα συστήματά τους χρησιμοποιώντας έναν τυπικό ρυθμό ανάπτυξης.

Λύση

Σημαντικό Ακολουθήστε προσεκτικά τα βήματα αυτής της ενότητας. Ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε το μητρώο με εσφαλμένο τρόπο. Προτού το τροποποιήσετε, δημιουργήστε αντίγραφο ασφαλείας του μητρώου για επαναφορά, σε περίπτωση που παρουσιαστούν προβλήματα.

Για να επιλύσετε αυτό το θέμα ευπάθειας, κάντε την ακόλουθη αλλαγή στο μητρώο για να περιορίσετε το μέγεθος του μεγαλύτερου πακέτου απόκρισης DNS που βασίζεται στο πρωτόκολλο TCP που επιτρέπεται:

Πλήκτρο: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize  Type = DWORD Δεδομένα τιμής = 0xFF00

Σημειώσεις

  • Η προεπιλεγμένη (επίσης μέγιστη) τιμή δεδομένων = 0xFFFF.

  • Εάν αυτή η τιμή μητρώου επικολληθεί ή εφαρμόζεται σε ένα διακομιστή μέσω της πολιτικής ομάδας, η τιμή είναι αποδεκτή, αλλά δεν θα ρυθμιστεί στην πραγματικότητα με την τιμή που αναμένετε. Δεν είναι δυνατή η πληκτρολόγηση της τιμής 0x στο πλαίσιο " δεδομένα τιμής ". Ωστόσο, μπορεί να επικολληθεί. Εάν επικολλήσετε την τιμή, θα λάβετε μια δεκαδική τιμή 4325120.

  • Αυτή η λύση εφαρμόζει το ff00 ως την τιμή που έχει δεκαδική τιμή 65280. Αυτή η τιμή είναι 255 μικρότερη από τη μέγιστη επιτρεπόμενη τιμή του 65.535.

  • Πρέπει να επανεκκινήσετε την υπηρεσία DNS για να ισχύσει η αλλαγή του μητρώου. Για να το κάνετε αυτό, εκτελέστε την ακόλουθη εντολή σε μια γραμμή εντολών με αυξημένα δικαιώματα:

net stop dns && net start dns

Μετά την εφαρμογή της λύσης, ένας διακομιστής DNS των Windows δεν θα μπορεί να επιλύσει τα ονόματα DNS για τα προγράμματα-πελάτες του, εάν η απόκριση DNS από το διακομιστή ανάντη είναι μεγαλύτερη από 65.280 byte.

Σημαντικές πληροφορίες σχετικά με αυτήν τη λύση

Τα πακέτα απόκρισης DNS που βασίζονται στο πρωτόκολλο TCP που υπερβαίνουν τη συνιστώμενη τιμή θα απορριφθούν χωρίς σφάλμα. Επομένως, είναι πιθανό ορισμένα ερωτήματα να μην απαντηθούν. Αυτό μπορεί να προκαλέσει μη αναμενόμενη αποτυχία. Ένας διακομιστής DNS θα επηρεαστεί αρνητικά από αυτόν τον εναλλακτικό τρόπο αντιμετώπισης μόνο εάν λαμβάνει έγκυρες απαντήσεις TCP που είναι μεγαλύτερες από τις επιτρεπόμενες στο προηγούμενο μετριασμό (περισσότερα από 65.280 byte). Η μειωμένη τιμή είναι απίθανο να επηρεάσει τις τυπικές αναπτύξεις ή τα αναδρομικά ερωτήματα. Ωστόσο, μια μη τυπική χρήση-υπόθεση μπορεί να υπάρχει σε ένα δεδομένο περιβάλλον. Για να προσδιορίσετε εάν η εφαρμογή του διακομιστή θα επηρεαστεί αρνητικά από αυτή τη λύση, θα πρέπει να ενεργοποιήσετε την καταγραφή διαγνωστικών και να καταγράψετε ένα δείγμα συνόλου που είναι αντιπροσωπευτικό της τυπικής επιχειρηματικής ροής. Στη συνέχεια, θα πρέπει να εξετάσετε τα αρχεία καταγραφής για να προσδιορίσετε την παρουσία anomalously μεγάλων πακέτων απόκρισης TCP Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα καταγραφή και διαγνωστικά DNS.

Συνήθεις ερωτήσεις

Η λύση είναι διαθέσιμη σε όλες τις εκδόσεις του Windows Server που εκτελούν το ρόλο DNS. 

Επιβεβαιώσαμε ότι αυτή η ρύθμιση μητρώου δεν επηρεάζει τις μεταφορές ζώνης DNS. 

Όχι, δεν απαιτούνται και οι δύο επιλογές. Η εφαρμογή της ενημέρωσης ασφαλείας σε ένα σύστημα επιλύει αυτό το θέμα ευπάθειας. Η λύση που βασίζεται στο μητρώο παρέχει προστασίες σε ένα σύστημα, όταν δεν μπορείτε να εφαρμόσετε αμέσως την ενημέρωση ασφαλείας και δεν πρέπει να θεωρείται ως αντικατάσταση της ενημέρωσης ασφαλείας. Μετά την εφαρμογή της ενημέρωσης, η λύση δεν είναι πλέον απαραίτητη και θα πρέπει να καταργηθεί.

Η λύση είναι συμβατή με την ενημέρωση ασφαλείας. Ωστόσο, η τροποποίηση του μητρώου δεν θα είναι πλέον απαραίτητη μετά την εφαρμογή της ενημέρωσης. Οι βέλτιστες πρακτικές υπαγορεύουν ότι οι τροποποιήσεις μητρώου καταργούνται όταν δεν είναι πλέον απαραίτητες για την αποτροπή πιθανών μελλοντικών επιπτώσεων που μπορεί να προκύψουν από την εκτέλεση μιας μη τυπικής ρύθμισης παραμέτρων.   

Συνιστούμε σε όλους όσους εκτελούν διακομιστές DNS να εγκαταστήσουν την ενημέρωση ασφαλείας το συντομότερο δυνατό. Εάν δεν μπορείτε να εφαρμόσετε την ενημέρωση αμέσως, θα μπορείτε να προστατεύσετε το περιβάλλον σας πριν από την τυπική αυξομείωση για την εγκατάσταση ενημερώσεων.

Όχι. Η ρύθμιση μητρώου είναι συγκεκριμένη για τα εισερχόμενα πακέτα απόκρισης DNS που βασίζονται σε TCP και δεν επηρεάζει καθολικά την επεξεργασία των μηνυμάτων TCP ενός συστήματος γενικά.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Ανακαλύψτε Κοινότητα

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.

Ρωτήστε την κοινότητα της Microsoft

Τεχνική Κοινότητα Microsoft

Windows Insiders

Microsoft 365 Insiders

Σας βοήθησαν αυτές οι πληροφορίες;

Πόσο ικανοποιημένοι είστε με τη γλωσσική ποιότητα;
Τι επηρέασε την εμπειρία σας;
Πατώντας "Υποβολή" τα σχόλια σας θα χρησιμοποιηθούν για τη βελτίωση των προϊόντων και των υπηρεσιών της Microsoft. Ο διαχειριστής IT θα έχει τη δυνατότητα να συλλέξει αυτά τα δεδομένα. Δήλωση προστασίας προσωπικών δεδομένων.

Σας ευχαριστούμε για τα σχόλιά σας!

×