KB4569509: juhised DNS-serveri haavatavuse CVE-2020-1350

See artikkel kehtib konkreetselt järgmiste Windows Serveri versioonide kohta.

  • Windows Server, versioon 2004 (serveri tuum install)

  • Windows Server, versioon 1909 (serveri tuum install)

  • Windows Server, versioon 1903 (serveri tuum install)

  • Windows Server, versioon 1803 (serveri tuum install)

  • Windows Server 2019 (serveri tuum install)

  • Windows Server 2019

  • Windows Server 2016 (serveri tuum install)

  • Windows Server 2016

  • Windows Server 2012 R2 (serveri tuum install)

  • Windows Server 2012 R2

  • Windows Server 2012 (serveri tuum install)

  • Windows Server 2012

  • Windows Server 2008 R2 x64-põhiste süsteemide hoolduspaketi 1 jaoks (serveri tuum install)

  • Windows Server 2008 R2 x64-põhiste süsteemide hoolduspaketi 1 jaoks

  • Windows Server 2008 x64-põhistele süsteemidele hoolduspakett 2 (Server Core Installation)

  • Windows Server 2008 x64-põhiste süsteemide hoolduspaketi SP2 jaoks

  • Windows Server 2008 for 32-bitiste süsteemide hoolduspakett Service Pack 2 (serveri tuum install)

  • Windows Server 2008 for 32-bitiste süsteemide hoolduspakett SP2

Tutvustus

14. juulil 2020, Microsoft avaldas turvavärskenduse probleemi, mis on kirjeldatud CVE-2020-1350 | Windowsi DNS serveri koodi käivitamise haavatavus. See nõuandev kirjeldab kriitilise koodi kaugkäivitamist (finantsalase) haavatavust, mis mõjutab DNS-serveri rolli käitamiseks konfigureeritud Windowsi servereid. Soovitame tungivalt, et serveri administraatorid rakendaks turvavärskenduse esimesel võimalusel.

Registril põhinevat lahendust saab kasutada mõjutatud Windowsi serveri kaitsmiseks ja seda saab rakendada, nõudmata administraatoril serverit taaskäivitada. Haavatavuse tõttu võib juhtuda, et Administraatorid peavad enne turvavärskenduse rakendamist rakendama lahendus, et võimaldada neil oma süsteeme standardse juurutuse abil värskendada.

Lahendus

NB! Järgige hoolikalt selles jaotises toodud juhiseid. Registri vale muutmine võib tõsiseid probleeme põhjustada. Enne selle muutmist varundage register taastamiseks juhul, kui probleemid tekivad.

Selle haavatavuse toimimiseks tehke järgmist registri muudatust, et piirata suurima sissetuleva TCP-põhise DNS-i vastuse paketi suurust, mis on lubatud.

Võti: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize  Tippige = DWORD Value data = 0xFF00

Märkused

  • Vaikeväärtus (ka maksimum) väärtuse andmed = 0xFFFF.

  • Kui see registriväärtus kleebitakse või rakendatakse serverile rühmapoliitika kaudu, aktsepteeritakse väärtus, kuid see ei ole tegelikult seatud väärtusele, mida ootate. Väärtust 0x ei saa tippida väljale Value data (väärtuse andmed ). Seda saab siiski kleepida. Kui kleebite väärtuse, kuvatakse 4325120kümnendkoha väärtus.

  • See lahendus rakendub FF00 , mille väärtus on 65280. See väärtus on 255 väiksem kui maksimaalne lubatud väärtus 65 535.

  • Registri muudatuse jõustumiseks peate DNS-i teenuse uuesti käivitama. Selleks käivitage laiendatud käsuviibalt järgmine käsk:

net stop dns && net start dns

Pärast lahenduse rakendamist ei saa Windowsi DNS-i server oma klientide DNS-i nimesid lahendada, kui DNS-i vastus ülesvoolu serverist on suurem kui 65 280 baiti.

Oluline teave selle vastukaalu kohta

TCP-põhise DNS-i vastuse paketid, mis ületavad soovitatava väärtuse, langeb tõrketa. Seetõttu võib juhtuda, et mõned päringud ei vasta. See võib põhjustada ootamatut ebaõnnestumist. See lahendus mõjutab negatiivselt DNS-i serverit ainult siis, kui see saab kehtivaid TCP-vastuseid, mis on suuremad kui varasemal leevendamisel lubatud (rohkem kui 65 280 baiti). Vähendatud väärtus ei mõjuta tõenäoliselt tavalisi juurutusi ega rekursiivi päringuid. Kuid konkreetses keskkonnas võib esineda mitte-tavaline kasutusala. Kui soovite kindlaks teha, kas see lahendus mõjutab serveri rakendamist ebasoodsalt, tuleks lubada diagnostika logimine ja jäädvustada valimi komplekt, mis esindab teie tüüpilist ärivoogu. Seejärel pead üle vaatama logifailid, et tuvastada suurte TCP-anomalously olemasolu. Lisateavet leiate teemast DNS-i logimine ja diagnostika.

korduma kippuvad küsimused

Lahendus on saadaval kõigis Windowsi serveri versioonides, kus töötab DNS-i roll. 

Oleme kinnitanud, et see registri säte ei mõjuta DNS-tsooni üleviimist. 

Ei, mõlemat võimalust ei nõuta. Turvavärskenduse rakendamine süsteemi lahendab selle haavatavuse. Registril põhinev lahendus annab kaitse süsteemile, kui te ei saa turvavärskenduse kohe rakendada ja seda ei tohiks lugeda turvavärskenduse asemel. Pärast värskenduse rakendamist pole lahendus enam vajalik ja see tuleks eemaldada.

Lahendus on turvavärskenduse jaoks ühilduv. Pärast värskenduse rakendamist ei ole registri muutmine enam vajalik. Head tavad dikteerivad, et registri muudatused eemaldatakse siis, kui neid pole enam vaja, et vältida võimalikku tulevast mõju, mis võib põhjustada ebastandardsete konfiguratsioonide käitamist.   

Soovitame kõigil, kes käitavad DNS-servereid, installida turvavärskenduse niipea kui võimalik. Kui te ei saa kohe värskendust rakendada, saate oma keskkonna kaitsta enne, kui teie tavaline rütm on värskenduste installimise jaoks valmis.

Ei. Registri säte on spetsiifiline sissetuleva TCP-põhise DNS-i vastuse pakettide jaoks ega mõjuta globaalselt süsteemi TCP-sõnumite töötlemist üldiselt.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×