Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Questo articolo si applica specificamente alle versioni seguenti di Windows Server:

  • Windows Server, versione 2004 (installazione Server Core)

  • Windows Server, versione 1909 (installazione Server Core)

  • Windows Server, versione 1903 (installazione Server Core)

  • Windows Server, versione 1803 (installazione Server Core)

  • Windows Server 2019 (installazione Server Core)

  • Windows Server 2019

  • Windows Server 2016 (installazione Server Core)

  • Windows Server 2016

  • Windows Server 2012 R2 (installazione Server Core)

  • Windows Server 2012 R2

  • Windows Server 2012 (installazione Server Core)

  • Windows Server 2012

  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)

  • Windows Server 2008 R2 per i sistemi basati su x64 Service Pack 1

  • Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)

  • Windows Server 2008 per sistemi basati su x64 Service Pack 2

  • Windows Server 2008 per 32-bit Systems Service Pack 2 (installazione Server Core)

  • Windows Server 2008 per 32-bit Systems Service Pack 2

Introduzione

Il 14 luglio 2020 Microsoft ha rilasciato un aggiornamento della sicurezza per il problema descritto in CVE-2020-1350 | Vulnerabilità nell'esecuzione di codice remoto di Windows DNS server. Questo advisory descrive una vulnerabilità legata all'esecuzione di codice remoto (RCE) critica che influisce sui server Windows configurati per l'esecuzione del ruolo del server DNS. È consigliabile che gli amministratori del server applichino l'aggiornamento della sicurezza al più presto.

Una soluzione alternativa basata sul Registro di sistema può essere usata per proteggere un server Windows interessato e può essere implementata senza richiedere a un amministratore di riavviare il server. A causa della volatilità della vulnerabilità, gli amministratori possono implementare la soluzione alternativa prima di applicare l'aggiornamento della sicurezza per consentire loro di aggiornare i loro sistemi usando una cadenza standard di distribuzione.

Soluzione alternativa

Importante Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di apportare le modifiche, eseguire il backup del Registro di sistema per il ripristino nel caso si verifichino dei problemi.

Per aggirare questa vulnerabilità, apportare la modifica del registro di sistema seguente per limitare le dimensioni del più grande pacchetto di risposte DNS basato su TCP consentito:

Chiave: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Valore = TcpReceivePacketSize  Digitare = DWORD Dati valore = 0xFF00

Note

  • I dati di valore predefiniti (anche massimo) = 0xFFFF.

  • Se il valore del registro di sistema viene incollato o viene applicato a un server tramite criteri di gruppo, il valore viene accettato ma non sarà effettivamente impostato sul valore previsto. Il valore 0x non può essere digitato nella casella dati valore . Tuttavia, può essere incollato. Se si incolla il valore, viene ottenuto un valore decimale di 4325120.

  • Questa soluzione alternativa si applica a FF00 come valore che ha un valore decimale di 65280. Questo valore è 255 minore del valore massimo consentito di 65.535.

  • È necessario riavviare il servizio DNS affinché la modifica del registro di sistema abbia effetto. A questo scopo, eseguire il comando seguente a un prompt dei comandi con privilegi elevati:

net stop dns && net start dns

Dopo l'implementazione della soluzione alternativa, un server DNS Windows non sarà in grado di risolvere i nomi DNS per i propri client se la risposta DNS dal server upstream è maggiore di 65.280 byte.

Informazioni importanti su questa soluzione alternativa

I pacchetti di risposta DNS basati su TCP che superano il valore consigliato verranno eliminati senza errori. Di conseguenza, è possibile che alcune query potrebbero non essere risolte. Questo potrebbe causare un errore imprevisto. Un server DNS verrà influenzato negativamente da questa soluzione alternativa solo se riceverà risposte TCP valide superiori a quelle consentite nella precedente attenuazione (più di 65.280 byte). È improbabile che il valore ridotto incida sulle distribuzioni standard o sulle query ricorsive. Tuttavia, un caso di utilizzo non standard può essere presente in un ambiente specifico. Per determinare se l'implementazione del server sarà influenzata negativamente da questa soluzione alternativa, è consigliabile abilitare la registrazione diagnostica e acquisire un set di campioni rappresentativo del flusso aziendale tipico. Sarà quindi necessario rivedere i file di log per identificare la presenza di pacchetti di risposte TCP di grandi dimensioni in modo anomalo Per altre informazioni, vedere registrazione DNS e diagnostica.

Domande frequenti

La soluzione alternativa è disponibile in tutte le versioni di Windows Server in cui è in uso il ruolo DNS. 

Abbiamo confermato che questa impostazione del registro di sistema non ha alcun effetto sui trasferimenti di zona DNS. 

No, entrambe le opzioni non sono necessarie. L'applicazione dell'aggiornamento della sicurezza a un sistema risolve questa vulnerabilità. La soluzione alternativa basata sul Registro di sistema offre protezioni a un impianto quando non è possibile applicare immediatamente l'aggiornamento della sicurezza e non deve essere considerato come sostitutivo dell'aggiornamento della sicurezza. Dopo l'applicazione dell'aggiornamento, la soluzione alternativa non è più necessaria e deve essere rimossa.

La soluzione alternativa è compatibile con l'aggiornamento della sicurezza. Tuttavia, la modifica del registro di sistema non sarà più necessaria dopo l'applicazione dell'aggiornamento. Le procedure consigliate stabiliscono che le modifiche al registro di sistema vengano rimosse quando non sono più necessarie per evitare potenziali effetti futuri che potrebbero risultare dall'eseguire una configurazione non standard.   

È consigliabile che tutti gli utenti che esegue i server DNS per installare l'aggiornamento della sicurezza il più presto possibile. Se non è possibile applicare subito l'aggiornamento, sarà possibile proteggere l'ambiente prima della cadenza standard per l'installazione degli aggiornamenti.

No. L'impostazione del registro di sistema è specifica per i pacchetti di risposta DNS basati su TCP in ingresso e non influisce globalmente sull'elaborazione dei messaggi TCP in generale.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×