דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

מאמר זה חל במיוחד על גירסאות Windows server הבאות:

  • Windows Server, גירסה 2004 (התקנת שרת ליבה)

  • Windows Server, גירסה 1909 (התקנת שרת ליבה)

  • Windows Server, גירסה 1903 (התקנת שרת ליבה)

  • Windows Server, גירסה 1803 (התקנת שרת ליבה)

  • Windows Server 2019 (התקנת שרת ליבות)

  • Windows Server 2019

  • Windows Server 2016 (התקנת שרת ליבות)

  • Windows Server 2016

  • Windows Server 2012 R2 (התקנת שרת ליבות)

  • Windows Server 2012 R2

  • Windows Server 2012 (התקנת שרת ליבות)

  • Windows Server 2012

  • Windows Server 2008 R2 עבור מערכות שירות מבוססות-x64 Service Pack 1 (התקנה של שרת הליבה)

  • Windows Server 2008 R2 עבור מערכות מבוססות x64 Service Pack 1

  • Windows Server 2008 עבור מערכות מבוססות x64 Service Pack 2 (התקנת שרת ליבות)

  • Windows Server 2008 עבור מערכות מבוססות x64 Service Pack 2

  • Windows Server 2008 for 32-bit System Service Pack 2 (התקנת שרת הליבה)

  • Windows Server 2008 for 32-bit System Service Pack 2

מבוא

ב-14 ביולי 2020 פרסמה Microsoft עדכון אבטחה לגבי הבעיה המתוארת בנושא CVE-2020-1350 | פגיעות ביצוע קוד מרוחק של Windows DNS Server. עלון יידוע זה מתאר פגיעות ביצוע קוד מרוחק קריטי (מרבני) המשפיעה על שרתי Windows שתצורתם נקבעה להפעלת תפקיד ה-DNS Server. אנו ממליצים מאוד למנהלי שרת להחיל את עדכון האבטחה בנוחיות המוקדמת ביותר שלהם.

ניתן להשתמש בפתרון מבוסס רישום כדי לסייע בהגנה על שרת Windows מושפע, וניתן ליישם אותו מבלי לחייב מנהל מערכת להפעיל מחדש את השרת. בשל התנודתיות של פגיעות זו, ייתכן שמנהלי מערכת יצטרכו ליישם את הפתרון לפני שהם יחילו את עדכון האבטחה כדי לאפשר להם לעדכן את המערכות שלהם באמצעות מקצב פריסה סטנדרטי.

פתרון

חשוב בצע את השלבים בסעיף זה בעיון. בעיות רציניות עשויות להתרחש אם תשנה את הרישום באופן שגוי. לפני שתשנה אותו, גבה את הרישום לשחזור במקרה שיתרחשו בעיות.

כדי לעקוף פגיעות זו, צור את השינויים הבאים כדי להגביל את גודל המנה הגדולה ביותר של תגובת ה-DNS הנכנסת מבוססת TCP המותרת:

מפתח: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize  הקלד = DWORD נתוני ערך = 0xFF00

הערות

  • נתוני הערך המוגדרים כברירת מחדל (גם מקסימום) = 0xFFFF.

  • אם ערך רישום זה מודבק או מוחל על שרת באמצעות מדיניות קבוצתית, הערך מתקבל אך לא יוגדר בפועל לערך הצפוי. אין אפשרות להקליד את הערך 0x בתיבה נתוני ערך . עם זאת, ניתן להדביק אותו. אם תדביק את הערך, תקבל ערך עשרוני של 4325120.

  • פתרון זה חל על FF00 כערך הכולל ערך עשרוני של 65280. ערך זה הוא 255 קטן מהערך המרבי המותר של 65,535.

  • עליך להפעיל מחדש את שירות ה-DNS כדי ששינוי הרישום ייכנס לתוקף. לשם כך, הפעלת הפקודה הבאה בשורת פקודה מוגבהת:

net stop dns && net start dns

לאחר ביצוע הפתרון, שרת DNS של Windows לא יוכל לפתור שמות DNS עבור לקוחותיו אם תגובת ה-DNS משרת המעלה גדולה מ-65,280 בתים.

מידע חשוב אודות פתרון זה

מנות תגובת DNS מבוססות-TCP שחורגות מהערך המומלץ יוסרו ללא שגיאה. לכן, ייתכן שחלק מהשאילתות לא ייענו. פעולה זו עלולה לגרום לכישלון בלתי צפוי. לעקיפת הבעיה, שרת DNS מושפע באופן שלילי רק אם הוא מקבל תגובות TCP חוקיות הגדולות מהמותרות בהקלה הקודמת (יותר מ-65,280 בתים). הערך המופחת אינו סביר שישפיע על פריסות רגילות או על שאילתות רקורסיביות. עם זאת, ייתכן שנעשה שימוש במארז שאינו סטנדרטי בסביבה נתונה. כדי לקבוע אם יישום השרת יושפע לרעה מפתרון זה, עליך להפוך רישום אבחוני לזמין וללכוד ערכת לדוגמה המייצגת את הזרימה העסקית האופיינית שלך. לאחר מכן, תצטרך לסקור את קבצי יומן הרישום כדי לזהות את הנוכחות של anomalously גדול של מנות מענה TCP לקבלת מידע נוסף, ראה רישום ואבחון של DNS.

שאלות נפוצות

הפתרון זמין בכל הגירסאות של Windows Server שבו פועל תפקיד ה-DNS. 

אישרנו שהגדרת רישום זו אינה משפיעה על העברות אזור DNS. 

לא, שתי האפשרויות אינן נדרשות. החלת עדכון האבטחה על מערכת מפענחת פגיעות זו. הפתרון המבוסס על רישום מספק הגנות למערכת כאשר אין באפשרותך להחיל את עדכון האבטחה באופן מיידי ואין להתייחס אליו כתחליף לעדכון האבטחה. לאחר החלת העדכון, הפתרון אינו נחוץ עוד ויש להסיר אותו.

הפתרון תואם לעדכון האבטחה. עם זאת, שינוי הרישום לא יהיה נחוץ עוד לאחר החלת העדכון. שיטות עבודה מומלצות מכתיבות ששינויים ברישום יוסרו כאשר הם אינם נחוצים עוד כדי למנוע השפעה עתידית אפשרית שעלולה לנבוע מהפעלת תצורה לא תקנית.   

אנו ממליצים לכל מי שמפעיל את שרתי ה-DNS להתקין את עדכון האבטחה בהקדם האפשרי. אם אינך מצליח להחיל את העדכון באופן מיידי, תוכל להגן על הסביבה שלך לפני התקן הסטנדרטי להתקנת עדכונים.

לא. הגדרת הרישום היא ספציפית למנות נכנסות של תגובות DNS מבוססות TCP ואינה משפיעה כלל על עיבוד המערכת של הודעות TCP באופן כללי.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×