Dit artikel is specifiek van toepassing op de volgende Windows Server-versies:

  • Windows Server, versie 2004 (Server Core installeren)

  • Windows Server, versie 1909 (Server Core installeren)

  • Windows Server, versie 1903 (Server Core installeren)

  • Windows Server, versie 1803 (Server Core installeren)

  • Windows Server 2019 (Server Core-installatie)

  • Windows Server 2019

  • Windows Server 2016 (Server Core-installatie)

  • Windows Server 2016

  • Windows Server 2012 R2 (Server Core installeren)

  • Windows Server 2012 R2

  • Windows Server 2012 (Server Core-installatie)

  • Windows Server 2012

  • Windows Server 2008 R2 voor x64-Based Systems Service Pack 1 (Server Core installeren)

  • Windows Server 2008 R2 voor x64-Based Systems Service Pack 1

  • Windows Server 2008 voor x64-Based Systems Service Pack 2 (Server Core installeren)

  • Windows Server 2008 voor x64-systemen met Service Pack 2

  • Windows Server 2008 voor 32-bits Systems Service Pack 2 (Server Core Installation)

  • Windows Server 2008 voor 32-bits systemen Service Pack 2

Inleiding

Op 14 juli 2020 heeft Microsoft een beveiligingsupdate uitgebracht voor het probleem dat wordt beschreven in CVE-2020-1350 | Beveiligingsprobleem met het uitvoeren van externe code in Windows DNS server. In dit artikel wordt beschreven hoe u een kritiek beveiligingslek voor externe code Execution (RCE) gebruikt dat betrekking heeft op Windows-servers die zijn geconfigureerd voor de uitvoering van de DNS-serverrol. We raden u ten zeerste aan dat serverbeheerders de beveiligingsupdate zo snel mogelijk toepassen.

Een tijdelijke oplossing voor het register kan worden gebruikt om een getroffen Windows Server te helpen beschermen en die kan worden geïmplementeerd zonder dat de beheerder de server opnieuw hoeft te starten. Vanwege de volatiliteit van dit beveiligingslek moet de beheerder mogelijk de tijdelijke oplossing implementeren voordat ze de beveiligingsupdate toepassen, zodat ze hun systemen kunnen bijwerken met behulp van een standaardimplementatie-frequentie.

Workaround

Belangrijk Volg de stappen in dit gedeelte zorgvuldig. Als u het register onjuist bewerkt, kunnen er grote problemen optreden. Voordat u de wijziging aanpast, maakt u een back-up van het register voor herstel wanneer de problemen zich voordoen.

Om dit probleem tijdelijk op te lossen, maakt u de volgende registerwijziging, zodat de grootte van het grootste binnenkomende DNS-antwoordpakket op basis van TCP wordt beperkt:

Sleutel: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Waarde = TcpReceivePacketSize  Typ = DWORD Value data = 0xFF00

Opmerkingen

  • De standaardwaarde (maximum) met = 0xFFFF.

  • Als deze registerwaarde wordt geplakt of wordt toegepast op een server via Groepsbeleid, wordt de waarde geaccepteerd maar wordt de waarde niet ingesteld op de waarde die u verwacht. U kunt de waarde 0x niet typen in het vak Waardegegevens . Dit kan echter wel worden geplakt. Als u de waarde plakt, wordt de decimale waarde 4325120weergeven.

  • Deze tijdelijke oplossing past FF00 toe als de waarde die een decimale waarde heeft van 65280. Deze waarde is 255 kleiner dan de maximaal toegestane waarde van 65.535.

  • U moet de DNS-service opnieuw starten om de registerwijziging door te voeren. U doet dit door de volgende opdracht uit te voeren bij een opdrachtprompt met verhoogde bevoegdheid:

net stop dns && net start dns

Nadat de tijdelijke oplossing is geïmplementeerd, kan een Windows-DNS-server geen DNS-namen voor de clients omzetten als de DNS-antwoord van de stroomopwaarts server groter is dan 65.280 bytes.

Belangrijke informatie over deze tijdelijke oplossing

DNS-antwoordpakketten op basis van TCP die de aanbevolen waarde overschrijden, worden zonder fouten genegeerd. Daarom is het mogelijk dat sommige query's mogelijk niet worden beantwoord. Dit kan leiden tot een onverwachte fout. Met deze tijdelijke oplossing wordt de DNS-server negatief beïnvloed wanneer deze geldige TCP-antwoorden ontvangt die groter zijn dan toegestaan in de vorige beperking (meer dan 65.280 bytes). De vertraagde waarde is onwaarschijnlijk de invloed van standaard implementaties of recursieve query's. Er kan echter wel een niet-standaard gebruik van hoofdletters in een bepaalde omgeving bestaan. Als u wilt weten of de server implementatie nadelig wordt beïnvloed door deze tijdelijke oplossing, moet u de functie diagnostische gegevens vastleggen inschakelen en een voorbeeld van een voorbeeld vastleggen dat representatief is voor uw typische Business flow. Vervolgens moet u de logboekbestanden controleren om de aanwezigheid van anomalously grote TCP-antwoordpakketten te identificeren. Zie voor meer informatie DNS-logboekregistratie en diagnostischegegevens.

Veelgestelde vragen

De tijdelijke oplossing is beschikbaar op alle versies van Windows Server waarop de DNS-functie wordt uitgevoerd. 

We hebben bevestigd dat deze registerinstelling niet van invloed is op DNS-zone overdrachten. 

Nee, beide opties zijn niet vereist. U kunt dit beveiligingsprobleem oplossen door de beveiligingsupdate toe te passen op een systeem. De tijdelijke oplossing voor het register biedt bescherming tegen een systeem wanneer u de beveiligingsupdate niet onmiddellijk kunt toepassen en niet als vervanging van de beveiligingsupdate wordt beschouwd. Nadat de update is toegepast, is de tijdelijke oplossing niet langer nodig en moet deze worden verwijderd.

De tijdelijke oplossing is compatibel met de beveiligingsupdate. De wijziging van het register is echter niet meer nodig nadat de update is toegepast. Met best practices wordt bepaald dat registerwijzigingen worden verwijderd wanneer ze niet meer nodig zijn om potentiële toekomstige impact te voorkomen die kunnen optreden bij het uitvoeren van een niet-standaardconfiguratie.   

U wordt aangeraden iedereen die DNS-servers uitvoert om de beveiligingsupdate zo snel mogelijk te installeren. Als u de update niet meteen kunt toepassen, kunt u uw omgeving beschermen voordat u het standaardfrequentie voor het installeren van updates.

Nee. De instelling voor het register is specifiek voor binnenkomende TCP-antwoordpakketten op basis van TCP en wordt niet globaal beïnvloed op de verwerking van TCP-berichten in het algemeen van een systeem.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×