Šis straipsnis taikomas šioms "Windows Server" versijoms:
-
"Windows Server", 2004 versija (serverio branduolio įdiegtis)
-
"Windows Server", 1909 versija (serverio branduolio įdiegtis)
-
"Windows Server", 1903 versija (serverio branduolio įdiegtis)
-
"Windows Server", 1803 versija (serverio branduolio įdiegtis)
-
"Windows Server 2019" (serverio branduolio įdiegtis)
-
"Windows Server" 2019
-
"Windows Server 2016" (serverio branduolio įdiegtis)
-
„Windows Server 2016“
-
"Windows Server" 2012 R2 (serverio branduolio įdiegtis)
-
„Windows Server 2012 R2“
-
"Windows Server 2012" (serverio branduolio įdiegtis)
-
„Windows Server 2012“
-
"Windows Server 2008 R2" x64 pagrįstų sistemų "Service Pack 1" (serverio branduolio įdiegtis)
-
"Windows Server 2008 R2" x64 pagrįstų sistemų 1 pakeitimų pakete
-
"Windows Server 2008" x64 pagrįstų sistemų 2 pakeitimų paketu (serverio branduolio įdiegtis)
-
"Windows Server 2008" x64 pagrįstų sistemų 2 pakeitimų paketas
-
"Windows Server 2008", skirtos "32-bit Systems" 2 pakeitimų paketui (serverio branduolio įdiegtis)
-
"Windows Server 2008", skirtos "32 bitų" sistemos 2 pakeitimų paketui
Įvadas
2020 liepos 14 d. "Microsoft" išleido saugos naujinimą, skirtą problemai, aprašytai CVE-2020-1350 | "Windows" DNS serverio nuotolinio kodo vykdymo pažeidžiamumas. Šiame patarime aprašomi kritinio nuotolinio kodo vykdymo (RCE) pažeidžiamumas, kuris paveikia "Windows" serverius, sukonfigūruotus vykdyti DNS serverio vaidmenį. Primygtinai rekomenduojame, kad serverio administratoriai saugos naujinimą taikytų anksčiausiai.
Registras pagrįstas sprendimas gali būti naudojamas norint apsaugoti paveiktą "Windows Server", ir jį galima įdiegti nereikalaujant administratoriaus iš naujo paleisti serverį. Dėl šio pažeidžiamumo nepastovumo administratoriai gali įdiegti sprendimo būdą prieš taikydami saugos naujinimą, kad jie galėtų atnaujinti savo sistemas, naudodami standartinę diegimo funkciją.
Sprendimas
Svarbu Šiame skyriuje nurodytus veiksmus atlikite tiksliai taip, kaip aprašyta. Jei neteisingai pakeisite registro duomenis, gali kilti rimtų problemų. Prieš atlikdami keitimus, sukurkite registro atsarginę kopiją tam atvejui, jei iškiltų problemų.
Norėdami išspręsti šį pažeidžiamumą, atlikite toliau nurodytus registro keitimus, kad apribotumėte didžiausio gaunamo TCP pagrįsto DNS atsakymo paketo, kuris yra leistinas, dydį:
Raktas: HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\DNS\Parameters Reikšmė = Tcpreceivepacketsize Įveskite = DWORD Reikšmės duomenys = 0Xff00
Pastabos
-
Numatytasis (taip pat maksimalus) reikšmės duomenys = 0Xffff.
-
Jei ši registro reikšmė įklijuota arba taikoma serveriui taikant grupės strategiją, reikšmė bus priimta, tačiau iš tikrųjų nebus nustatyta reikšmė, kurios tikitės. Reikšmės 0 x negalima įvesti į lauką Reikšmės duomenys . Tačiau jį galima įklijuoti. Jei įklijuosite reikšmę, gausite dešimtainę reikšmę iš " 4325120".
-
Šis sprendimas taikomas FF00 kaip reikšmė, kurios dešimtainė reikšmė yra 65280. Ši reikšmė yra 255 mažesnė nei maksimali leistina 65 535 reikšmė.
-
Jei norite, kad registro pakeitimai įsigaliotų, turite iš naujo paleisti DNS paslaugą. Norėdami tai padaryti, didesnių teisių komandų eilutėje vykdykite šią komandą:
net stop dns && net start dns
Kai sprendimas bus įdiegtas, "Windows" DNS serveris negalės išspręsti savo klientų DNS vardų, jei DNS atsakymas iš išsiuntimo serverio yra didesnis nei 65 280 baitų.
Svarbi informacija apie šį sprendimo būdą
TCP pagrįstiems DNS atsakymų paketuose, kurie viršija rekomenduojamą reikšmę, bus atsisakyta be klaidų. Todėl gali būti, kad į kai kurias užklausas negalima atsakyti. Dėl to gali kilti nenumatytas gedimas. Šis sprendimo būdas turi neigiamos įtakos DNS serveriui tik tuo atveju, jei jis gauna galiojančius TCP atsakymus, kurie yra didesni nei leidžiami ankstesniame sušvelninimo (daugiau nei 65 280 baitų). Mažesnė reikšmė neturėtų įtakos standartiniams diegimus arba rekursinės užklausos. Tačiau tam tikrą aplinką galima naudoti ne standartinę naudojimo atvejį. Norėdami nustatyti, ar šis sprendimo būdas neturės neigiamos įtakos serverio įdiegčiai, turite įgalinti diagnostinį registravimą ir užfiksuoti pavyzdį, būdingą jūsų tipiniam verslo srautui. Tada turėsite Peržiūrėti žurnalų failus, kad nustatytumėte, ar yra nenormalų stambių TCP atsakymų paketų. Daugiau informacijos ieškokite DNS registravimas ir diagnostika.
Dažnai užduodami klausimai
Sprendimo būdas galimas visose "Windows Server" versijose, kuriose veikia DNS vaidmuo.
Mes patvirtinome, kad šis registro parametras neturi įtakos DNS zonos perkėlimams.
Ne, abiejų parinkčių nereikalaujama. Pritaikius saugos naujinimą, sistema išsprendžia šį pažeidžiamumą. Registras pagrįstas sprendimo būdas suteikia apsaugą sistemai, kai saugos naujinimo negalite iš karto taikyti ir jis neturėtų būti laikomas saugos naujinimo pakeitimu. Pritaikius naujinimą, sprendimo būdas nebėra būtinas ir turi būti pašalintas.
Sprendimo būdas suderinamas su saugos naujinimu. Tačiau Įdiegus naujinimą nebereikės modifikuoti registro. Geriausios praktikos diktuoja, kad registro pakeitimai būtų pašalinti, kai jų nebereikia norint išvengti galimo poveikio ateityje, dėl kurio gali kilti nestandartinės konfigūracijos.
Rekomenduojame, kad visi, kurie vykdo DNS serverius, įdiegtų saugos naujinimą kaip galima greičiau. Jei negalite iš karto taikyti naujinimo, galite apsaugoti savo aplinką prieš savo standartinę informaciją apie naujinimų diegimą.
ne. Registro parametras būdingas gaunamam TCP pagrįstiems DNS atsakymų paketams ir nedaro viso įtakos sistemos apdorojimo TCP pranešimams apskritai.
