Ten artykuł dotyczy tylko następujących wersji systemu Windows Server:
-
Windows Server, wersja 2004 (instalacja Server Core)
-
Windows Server, wersja 1909 (instalacja Server Core)
-
Windows Server, wersja 1903 (instalacja Server Core)
-
Windows Server, wersja 1803 (instalacja Server Core)
-
Windows Server 2019 (instalacja Server Core)
-
Windows Server 2019
-
Windows Server 2016 (instalacja Server Core)
-
Windows Server 2016
-
Windows Server 2012 R2 (instalacja Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 (instalacja Server Core)
-
Windows Server 2012
-
Windows Server 2008 R2 dla systemu z procesorem x64 z dodatkiem Service Pack 1 (instalacja Server Core)
-
Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1
-
Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2 (instalacja Server Core)
-
Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2
-
Windows Server 2008 dla 32-bitowy system Service Pack 2 (instalacja Server Core)
-
Windows Server 2008 dla 32-bitowy system Service Pack 2
Wprowadzenie
14 lipca 2020 r. Firma Microsoft opublikowała aktualizację zabezpieczeń dotyczącą problemu opisanego w biuletynie CVE-2020-1350 | Luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu serwera DNS systemu Windows. Niniejszy poradnik zawiera opis luki w zabezpieczeniach dotyczącej usterki umożliwiającej zdalne wykonanie kodu (RCE), która wpływa na serwery Windows skonfigurowane do uruchamiania roli serwera DNS. Zdecydowanie zaleca się, aby administratorzy serwerów stosowali tę aktualizację zabezpieczeń w możliwie najkrótszym czasie.
W celu ochrony systemu Windows Server, którego dotyczy problem, można użyć obejścia opartego na rejestrze, które może zostać zaimplementowane bez konieczności ponownego uruchamiania serwera przez administratora. Ze względu na lotność tej luki Administratorzy mogą wymagać zaimplementowania obejścia przed zastosowaniem aktualizacji zabezpieczeń w celu umożliwienia im zaktualizowania swoich systemów przy użyciu standardowego wdrożenia częstotliwość.
Obejście
Ważne Należy rozważnie wykonywać czynności podane w tej sekcji. Niepoprawne zmodyfikowanie rejestru może być przyczyną poważnych problemów. Przed zmodyfikowaniem rejestru należy utworzyć jego kopię zapasową, aby móc przywrócić rejestr na wypadek problemów.
W celu obejścia tej usterki należy wprowadzić następujące zmiany w rejestrze w celu ograniczenia rozmiaru największego największego przychodzącego pakietu odpowiedzi DNS opartego na protokole TCP, który jest dozwolony:
Klucz: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Wartość = TcpReceivePacketSize Type = DWORD Dane wartości = 0xFF00
Uwagi
-
Wartość domyślna (również maksymalna) dane wartości = 0xFFFF.
-
Jeśli ta wartość rejestru jest wcześniejsza lub zastosowana do serwera za pośrednictwem zasad grupy, wartość jest akceptowana, ale w rzeczywistości nie będzie ustawiona na oczekiwaną wartość. Nie można wpisać wartości 0x w polu dane wartości . Można go jednak wkleić. Jeśli wkleisz tę wartość, otrzymasz wartość dziesiętną 4325120.
-
To obejście dotyczy FF00 jako wartości dziesiętnej z przecinkiem 65280. Ta wartość jest 255 mniejsza niż maksymalna dozwolona wartość 65 535.
-
Aby zmiana dotycząca rejestru została wprowadzona, należy ponownie uruchomić usługę DNS. Aby to zrobić, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:
net stop dns && net start dns
Po zaimplementowaniu obejścia serwer DNS systemu Windows nie będzie mógł rozpoznać nazw DNS dla jego klientów, jeśli odpowiedź DNS od serwera nadrzędnego jest większa niż 65 280 bajtów.
Ważne informacje dotyczące tego obejścia
Pakiety odpowiedzi DNS oparte na protokole TCP, które wykraczają poza zalecaną wartość, zostaną usunięte bez błędu. W związku z tym może brakować odpowiedzi na niektóre kwerendy. Może to powodować nieoczekiwane błędy. Ten obejście będzie miało negatywny wpływ na serwer DNS, jeśli otrzyma on prawidłowe odpowiedzi TCP, które są większe niż dozwolone w poprzednim ograniczeniu (ponad 65 280 bajtów). Zmniejszona wartość jest mało prawdopodobna, aby mieć wpływ na standardowe wdrożenia lub zapytania cykliczne. Jednak w danym środowisku może istnieć niestandardowy przypadek użycia. Aby ustalić, czy to obejście ma wpływ na implementację serwera, należy włączyć rejestrowanie diagnostyczne i przechwycić zestaw przykładowy, który jest reprezentatywny dla typowego przepływu pracy. Następnie konieczne będzie przejrzenie plików dziennika w celu zidentyfikowania obecności dużych pakietów odpowiedzi TCP anomalously. Aby uzyskać więcej informacji, zobacz Rejestrowanie i Diagnostyka DNS.
Często zadawane pytania
Obejście jest dostępne we wszystkich wersjach systemu Windows Server, w których jest uruchomiona rola DNS.
Potwierdzono, że to ustawienie rejestru nie wpływa na transfery stref DNS.
Nie, obie opcje nie są wymagane. Zastosowanie aktualizacji zabezpieczeń w systemie spowoduje rozwiązanie tej luki. Obejście oparte na rejestrze zapewnia ochronę systemu, gdy nie można zastosować aktualizacji zabezpieczeń natychmiast i nie należy go traktować jako zamiennika aktualizacji zabezpieczeń. Po zastosowaniu aktualizacji obejście nie jest już potrzebne i należy je usunąć.
Obejście jest zgodne z aktualizacją zabezpieczeń. Jednak modyfikacja rejestru nie będzie już potrzebna po zastosowaniu aktualizacji. Najważniejsze wskazówki wskazują, że modyfikacje rejestru zostaną usunięte, gdy nie są już potrzebne, aby zapobiec potencjalnemu skutkowi w przyszłości, który może spowodować uruchomienie konfiguracji niestandardowej.
Zalecamy, aby wszyscy użytkownicy, którzy korzystają z serwerów DNS w celu możliwie jak najszybszego zainstalowania aktualizacji zabezpieczeń. Jeśli nie możesz zastosować aktualizacji od razu, możesz chronić swoje środowisko przed Twoim standardowym częstotliwość, aby móc zainstalować aktualizacje.
Nie. Ustawienie rejestru jest specyficzne dla przychodzących pakietów odpowiedzi DNS opartych na protokole TCP i w ogóle nie wpływa globalnie na przetwarzanie wiadomości protokołu TCP.
