Šis raksts attiecas uz tālāk norādītajām Windows serveru versijām.
-
Windows Server, versija 2004 (Server Core Installation)
-
Windows Server, versija 1909 (Server Core Installation)
-
Windows Server, versija 1903 (Server Core Installation)
-
Windows Server, versija 1803 (Server Core Installation)
-
Windows Server 2019 (servera pamata instalācija)
-
Windows Server 2019
-
Windows Server 2016 (servera pamata instalācija)
-
Windows Server 2016
-
Windows Server 2012 R2 (servera pamata instalācija)
-
Windows Server 2012 R2
-
Windows Server 2012 (servera pamata instalācija)
-
Windows Server 2012
-
Windows Server 2008 R2 x64 bāzes sistēmas 1. servisa pakotnei (Server Core Installation)
-
Windows Server 2008 R2 x64 bāzes sistēmas 1. servisa pakotnei
-
Windows Server 2008 for x64 bāzes sistēmas 2. servisa pakotne (servera pamatversija)
-
Windows Server 2008 x64 sistēmas 2. servisa pakotnei
-
Windows Server 2008 for 32 bitu sistēmas 2. servisa pakotne (servera pamata instalācija)
-
Windows Server 2008 for 32 bitu sistēmas 2. servisa pakotne
Ieviešanu
2020. gada 14. jūlijā Microsoft izlaida drošības atjauninājumu par problēmu, kas ir aprakstīta rakstā CVE-2020-1350 | Windows DNS servera attālā koda izpildes ievainojamība. Šajā konsultācijā ir aprakstīta kritiskā attālā koda izpildes (RKN) ievainojamība, kas ietekmē Windows serverus, kuri ir konfigurēti palaist DNS servera lomu. Mēs stingri iesakām serveru administratoriem lietot drošības atjauninājumu, cik vien iespējams ātrāk.
Uz reģistru balstītu risinājumu var izmantot, lai aizsargātu attiecīgo Windows serveri, un tas var tikt ieviests bez nepieciešamības administratoram restartēt serveri. Šīs ievainojamība nepastāvības dēļ administratoriem, iespējams, ir jāievieš risinājums, pirms tie lieto drošības atjauninājumu, lai tie varētu atjaunināt savas sistēmas, izmantojot standarta izvietošanas ritmu.
Risinājums
Svarīgi! Precīzi izpildiet šajā sadaļā sniegtos norādījumus. Nepareizi modificējot reģistru, var rasties nopietnas problēmas. Pirms tās modificēšanas dublējiet reģistru atjaunošanai gadījumam, ja rodas problēmas.
Lai novērstu šo problēmu, veiciet tālāk norādītās reģistra izmaiņas, lai ierobežotu lielākās Ienākošā TCP atbildes pakotnes lielumu, kas ir atļauta:
Atslēga: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Vērtība = TcpReceivePacketSize Ierakstiet = DWORD Vērtību dati = 0xFF00
Piezīmes.
-
Noklusējuma (arī maksimālā) vērtību dati = 0xFFFF.
-
Ja šī reģistra vērtība ir ielīmēta vai tiek lietota serverim, izmantojot grupas politiku, vērtība ir akceptēta, bet tā faktiski netiek iestatīta uz vēlamo vērtību. Vērtību 0 nevar ievadīt lodziņā vērtību dati . Taču to var ielīmēt. Ja ielīmējat vērtību, tiek saņemta 4325120decimāldaļas vērtība.
-
Šis risinājums attiecas uz FF00 kā vērtību, kuras vērtība ir 65280 decimāldaļa. Šī vērtība ir 255 mazāka par 65 535 maksimālo atļauto vērtību.
-
Lai reģistra izmaiņas stātos spēkā, restartējiet DNS pakalpojumu. Lai to izdarītu, izpildiet šādu komandu privileģētā komandu uzvednē:
net stop dns && net start dns
Pēc tam, kad risinājums ir ieviests, Windows DNS serveris nevarēs atrisināt DNS nosaukumus saviem klientiem, ja DNS atbilde no augšpuses servera ir lielāka par 65 280 baitiem.
Svarīga informācija par šo risinājumu
TCP DNS atbilžu paketes, kas pārsniedz ieteicamo vērtību, tiks atmestas, nerādot kļūdas ziņojumu. Tāpēc ir iespējams, ka daži vaicājumi, iespējams, neatbild. Tas var izraisīt negaidītu kļūmi. Šis risinājums negatīvi ietekmēs DNS serveri tikai tad, ja saņemsit derīgus TCP atbildes, kas ir lielākas par atļautām iepriekšējā samazināšanas (vairāk par 65 280 baitiem). Samazinātā vērtība visticamāk neietekmēs standarta izvietojumus vai rekursīvus vaicājumus. Tomēr noteiktā vidē var būt nestandarta lietošanas gadījums. Lai noteiktu, vai šis risinājums negatīvi ietekmēs servera implementāciju, iespējojiet diagnostikas reģistrēšanu un tveriet izlases kopu, kas ir raksturīga jūsu tipiskajai biznesa plūsmai. Pēc tam jums būs jāpārskata žurnālfaili, lai noteiktu anomalously lielo TCP atbilžu paketes esamību Papildinformāciju skatiet rakstā DNS reģistrēšana un diagnostika.
bieži uzdotie jautājumi
Risinājums ir pieejams visās Windows Server versijās, kurās darbojas DNS loma.
Esam apstiprinājuši, ka šis reģistra iestatījums neietekmē DNS zonas pārsūtīšanu.
Nē, abas opcijas nav vajadzīgas. Drošības atjauninājuma lietošana sistēmai novērš šo ievainojamību. Reģistra risinājums nodrošina aizsardzību sistēmai, ja nevarat lietot drošības atjauninājumu tūlīt, un tas nav jāuzskata par drošības atjauninājuma aizstāšanu. Kad atjaunināšana ir lietota, risinājums vairs nav nepieciešams un ir jānoņem.
Risinājums ir saderīgs ar drošības atjauninājumu. Tomēr pēc atjauninājuma lietošanas vairs nebūs nepieciešams veikt reģistra modifikācijas. Paraugprakse nosaka, ka reģistra modifikācijas tiek noņemtas, kad tās vairs nav vajadzīgas, lai novērstu potenciālo ietekmi nākotnē, kas var izraisīt nestandarta konfigurācijas izpildi.
Iesakām visiem lietotājiem, kuri vada DNS serverus, instalēt drošības atjauninājumu pēc iespējas ātrāk. Ja nevarat šo atjauninājumu lietot uzreiz, jūs varat aizsargāt savu vidi, pirms standarta ritma atjauninājumu instalēšanai.
nē. Reģistra iestatījums ir specifisks ienākošajām TCP atbilžu paketēm, un tas kopumā neietekmē TCP ziņojumu sistēmas apstrādi.
