Ovaj se članak posebno odnosi na sljedeće verzije sustava Windows Server:
-
Windows Server, verzija 2004 (Instalacija jezgre poslužitelja)
-
Windows Server, verzija 1909 (Instalacija jezgre poslužitelja)
-
Windows Server, verzija 1903 (Instalacija jezgre poslužitelja)
-
Windows Server, verzija 1803 (Instalacija jezgre poslužitelja)
-
Windows Server 2019 (Instalacija jezgre poslužitelja)
-
Windows Server 2019
-
Windows Server 2016 (Instalacija jezgre poslužitelja)
-
Windows Server 2016
-
Windows Server 2012 R2 (Instalacija jezgre poslužitelja)
-
Windows Server 2012 R2
-
Windows Server 2012 (Instalacija jezgre poslužitelja)
-
Windows Server 2012
-
Windows Server 2008 R2 za 64-bitne sustave sustava Service Pack 1 (Instalacija jezgre poslužitelja)
-
Windows Server 2008 R2 za 64-bitne sustave sustava Service Pack 1
-
Windows Server 2008 za 64-bitne sustave sustava Service Pack 2 (Instalacija jezgre poslužitelja)
-
Windows Server 2008 za 64-bitne sustave System Service Pack 2
-
Windows Server 2008 za 32-bitni sistemi sustava Service Pack 2 (Instalacija jezgre poslužitelja)
-
Windows Server 2008 za 32-bitni sistemski servisni paket 2
Uvod
14. srpnja 2020, Microsoft je oslobodio Sigurnosno ažuriranje za problem opisan u CVE-2020-1350 | Windows DNS poslužitelj za daljinsko izvršavanje koda U ovom se savjetodavnom članku opisuje važna ranjivost udaljenih kodova (RCE) koja utječe na poslužitelje sustava Windows koji su konfigurirani tako da pokreću ulogu DNS poslužitelja. Preporučujemo da administratori poslužitelja primjenjuju Sigurnosno ažuriranje pri najranijoj udobnosti.
Zaobilazno rješenje utemeljeno na registru može se koristiti za zaštitu zahvaćenog sustava Windows Server, a može se implementirati, a da administrator ne mora ponovno pokrenuti poslužitelj. Zbog nestabilnosti ove ranjivosti administratori će možda morati implementirati zaobilazno rješenje prije primjene sigurnosnog ažuriranja da bi im omogućile ažuriranje sustava pomoću standardnog ritma implementacije.
Zaobilazno rješenje
Važno Pažljivo slijedite upute u ovom odjeljku. Nepravilna izmjena registra može prouzročiti ozbiljne probleme. Prije nego što ga izmijenite, Sigurnosno kopiranje registra za restauraciju u slučajevima kada se pojave problemi.
Da biste zaobišli tu ranjivost, učinite sljedeće u registru da biste ograničili veličinu najvećeg paketa DNS odaziva koji se temelji na ulaznim TCP-u koji je dopušten:
Ključ: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\DNS\Parameters Vrijednost = Tcpreceivepacketsize Upišite = d Word Vrijednost podataka = 0Xff00
Napomene
-
Zadana (također maksimalna) vrijednost podataka = 0Xffff.
-
Ako je ta vrijednost registra zalijepljena ili se primjenjuje na poslužitelj putem pravilnika grupe, vrijednost je prihvaćena, ali se neće zapravo postaviti na vrijednost koju očekujete. Vrijednost 0x ne može se upisati u okvir Podaci vrijednosti . No može se zalijepiti. Ako zalijepite vrijednost, dobit ćete decimalnu vrijednost 4325120.
-
Ovo zaobilazno rješenje primjenjuje FF00 kao vrijednost koja sadrži decimalnu vrijednost 65280. Ta je vrijednost 255 manja od maksimalne dopuštene vrijednosti 65.535.
-
Morate ponovno pokrenuti DNS servis da bi se promjena registra stupila na kraj. Da biste to učinili, pokrenite sljedeću naredbu u povišenom naredbenom upitu:
net stop dns && net start dns
Kada se zaobilazno rješenje provede, DNS poslužitelj sustava Windows neće moći razriješiti DNS nazive svojih klijenata ako je DNS odaziv s poslužitelja na vrhu veći od 65.280 bajtova.
Važne informacije o ovom zaobilaznom rješenje
TCP-bazirani paketi DNS odgovora koji premašuju preporučenu vrijednost bit će odbačene bez pogreške. Dakle, moguće je da neki upiti nisu odgovoreni. To može prouzročiti nepredviđeni neuspjeh. Ovo zaobilazno rješenje negativno će utjecati na DNS poslužitelj samo ako primi valjane TCP odgovore koji su veći od dopuštenih u prethodnom ublazaju (više od 65.280 bajtova). Smanjena vrijednost vjerojatno neće utjecati na standardne implementacije ili rekurzivni upit. Međutim, u zadanom okruženju može postojati nestandardno korištenje-slučaj. Da biste odredili hoće li implementacija na poslužitelj negativno utjecati na ovaj zaobilazno rješenje, trebali biste omogućiti dijagnostički zapisivanje i snimiti ogledni skup koji je predstavnik uobičajenog tijeka poslovanja. Zatim ćete morati pregledati datoteke zapisnika da biste utvrdili prisutnost anomalnih velikih paketa protokola TCP Response Dodatne informacije potražite u članku DNS zapisivanje i dijagnostika.
Najčešća pitanja
Zaobilazno rješenje dostupno je na svim verzijama sustava Windows Server na kojoj se prikazuje uloga DNS-a.
Potvrdili smo da ova postavka registra ne utječe na prijenose DNS zone.
Ne, obje mogućnosti nisu obavezne. Primjena sigurnosnog ažuriranja na sustav rješava ovu ranjivost. Zaobilazno rješenje utemeljeno na registru pruža zaštitu sustavu kada ne možete odmah primijeniti Sigurnosno ažuriranje i ne bi se trebalo smatrati zamjenom za sigurnosno ažuriranje. Kada se ažuriranje Primijeni, zaobilazno rješenje više nije potrebno i mora se ukloniti.
Zaobilazno je rješenje kompatibilno s sigurnosnim ažuriranjem. No promjena registra više neće biti potrebna nakon primjene ažuriranja. Najbolje prakse određuju da se promjene registra uklanjaju kada više nisu potrebne za sprečavanje mogućeg budućeg učinka koji može rezultirati pokretanjem nestandardne konfiguracije.
Preporučamo da svi koji pokreću DNS poslužitelje instaliraju Sigurnosno ažuriranje što je prije moguće. Ako trenutno ne možete primijeniti ažuriranje, moći ćete zaštititi svoj okoliš prije standardnog ritma za instaliranje ažuriranja.
ne. Postavka registra specifična je za ulazne pakete DNS odgovornih servisa za ulazni TCP i ne globalno utječe na obradu sustava TCP poruka općenito.