Este artigo se aplica especificamente às seguintes versões do Windows Server:
-
Windows Server, versão 2004 (instalação Server Core)
-
Windows Server, versão 1909 (instalação Server Core)
-
Windows Server, versão 1903 (instalação Server Core)
-
Windows Server, versão 1803 (instalação Server Core)
-
Windows Server 2019 (instalação Server Core)
-
Windows Server 2019
-
Windows Server 2016 (instalação Server Core)
-
Windows Server 2016
-
Windows Server 2012 R2 (instalação Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 (instalação Server Core)
-
Windows Server 2012
-
Windows Server 2008 R2 Service Pack 1 para sistemas com base em x64 (instalação Server Core)
-
Windows Server 2008 R2 Service Pack 1 para sistemas com base em x64
-
Windows Server 2008 Service Pack 2 para sistemas com base em x64 (instalação Server Core)
-
Windows Server 2008 Service Pack 2 para sistemas com base em x64
-
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
-
Windows Server 2008 Service Pack 2 para sistemas de 32 bits
Introdução
Em 14 de julho de 2020, a Microsoft lançou uma atualização de segurança para o problema descrito no CVE-2020-1350 | Vulnerabilidade de Execução Remota de Código do Servidor DNS do Windows. Esse aviso descreve uma vulnerabilidade RCE (Execução Remota de Código) Crítica que afeta servidores Windows configurados para executar a função Servidor DNS. Recomendamos fortemente que os administradores de servidores apliquem a atualização de segurança logo que possível.
Uma solução alternativa baseada no Registro pode ser usada para proteger um servidor Windows afetado e pode ser implementada sem exigir que um administrador reinicie o servidor. Devido à volatilidade dessa vulnerabilidade, os administradores podem ter que implementar a solução alternativa antes de aplicar a atualização de segurança, para que possam atualizar seus sistemas usando uma cadência de implantação padrão.
Solução alternativa
Importante
Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça backup do Registro para restauração em caso de problemas.
Para contornar essa vulnerabilidade, faça a seguinte alteração no Registro para restringir o tamanho permitido do maior pacote de resposta DNS de entrada baseado em TCP:
Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
Valor = TcpReceivePacketSize
Tipo = DWORD
Dados de valor = 0xFF00
Observações
-
Os dados de Valor padrão (também máximo) = 0xFFFF.
-
Se esse valor do Registro for colado ou aplicado a um servidor por meio da Política de Grupo, o valor será aceito, mas não será definido para o valor que você espera. O valor 0x não pode ser digitado na caixa Dados de valor. No entanto, pode ser colado. Se colar o valor, você obterá um valor decimal de 4325120.
-
Esta solução alternativa aplica FF00 como o valor que tem um valor decimal de 65280. Este valor é 255 menor do que o valor máximo permitido de 65.535.
-
Você deve reiniciar o Serviço DNS para que a alteração no Registro entre em vigor. Para fazer isso, digite os seguintes comandos em um prompt de comandos com privilégios elevados:
net stop dns && net start dns
Depois que a solução alternativa for implementada, um servidor DNS do Windows não poderá resolver nomes DNS para seus clientes se a resposta DNS do servidor upstream for maior que 65.280 bytes.
Informações importantes sobre esta solução alternativa
Os pacotes de resposta DNS baseados em TCP que excederem o valor recomendado serão descartados sem erro. Portanto, é possível que algumas consultas não sejam respondidas. Isso pode resultar em uma falha inesperada. Um servidor DNS só será prejudicado por essa solução alternativa se receber respostas TCP válidas maiores do que o permitido na mitigação anterior (mais de 65.280 bytes).
É improvável que o valor reduzido afete implantações padrão ou consultas recursivas. No entanto, um caso de uso não padrão pode existir em determinado ambiente. Para determinar se a implementação do servidor será prejudicada por essa solução alternativa, você deve habilitar o log de diagnósticos e capturar um conjunto de exemplo que represente seu fluxo de negócios típico. Você precisará então examinar os arquivos de log para identificar a presença de pacotes de resposta TCP anormalmente grandes
Para obter mais informações, consulte Log e Diagnóstico de DNS.
Perguntas frequentes
A solução alternativa está disponível em todas as versões do Windows Server executando a função DNS.
Confirmamos que esta configuração de registro não afeta as transferências de zona de DNS.
Não, não é necessário usar ambas as opções. Aplicar a atualização de segurança a um sistema resolve essa vulnerabilidade. A solução alternativa baseada no Registro fornece proteções a um sistema quando você não pode aplicar a atualização de segurança imediatamente e não deve ser considerada uma substituição à atualização de segurança. Após a aplicação da atualização, a solução alternativa não é mais necessária e deve ser removida.
A solução alternativa é compatível com a atualização de segurança. No entanto, a modificação do registro não será mais necessária após a aplicação da atualização. As práticas recomendadas determinam que as modificações do Registro sejam removidas quando não forem mais necessárias, para evitar potencial impacto futuro que poderia resultar da execução de uma configuração não padronizada.
Recomendamos que todos que executam servidores DNS instalem a atualização de segurança o mais rápido possível. Se não puder aplicar a atualização imediatamente, você poderá proteger seu ambiente antes de sua cadência padrão para instalação de atualizações.
Não. A configuração do Registro é específica para pacotes de resposta DNS baseados em TCP de entrada e não afeta globalmente o processamento de mensagens TCP em geral do sistema.
