Este artigo aplica-se especificamente às seguintes versões do servidor Windows:
-
Windows Server, versão 2004 (instalação do Núcleo do Servidor)
-
Windows Server, versão 1909 (instalação do Núcleo do Servidor)
-
Windows Server, versão 1903 (instalação do Núcleo do Servidor)
-
Servidor do Windows, versão 1803 (Instalação do Núcleo do Servidor)
-
Windows Server 2019 (instalação do Núcleo do Servidor)
-
Windows Server 2019
-
Windows Server 2016 (instalação do Núcleo do Servidor)
-
Windows Server 2016
-
Windows Server 2012 R2 (instalação do Núcleo do Servidor)
-
Windows Server 2012 R2
-
Windows Server 2012 (instalação do Núcleo do Servidor)
-
Windows Server 2012
-
Windows Server 2008 R2 para o pacote de serviços de sistemas x64 1 (instalação do Núcleo do Servidor)
-
Windows Server 2008 R2 para o pacote de serviços de sistemas x64 1
-
Windows Server 2008 para o pacote de serviços de sistemas x64 2 (instalação do Núcleo do Servidor)
-
Windows Server 2008 para o pacote de serviços de sistemas x64 2
-
Windows Server 2008 para o Pacote de Serviço de Sistemas de 32 bits 2 (instalação do Núcleo do Servidor)
-
Windows Server 2008 para pacote de serviços de sistemas de 32 bits 2
Introdução
Em 14 de julho de 2020, a Microsoft lançou uma atualização de segurança para o problema que é descrito no CVE-2020-1350 . Vulnerabilidade de execução remotade código do servidor DO Windows DNS . Este aviso descreve uma vulnerabilidade de Execução de Código Remoto Crítico (RCE) que afeta servidores windows configurados para executar a função dns Server. Recomendamos vivamente que os administradores de servidores apliquem a atualização de segurança o mais rapidamente possível.
Uma solução alternativa baseada no registo pode ser usada para ajudar a proteger um servidor Windows afetado, e pode ser implementada sem exigir que um administrador reinicie o servidor. Devido à volatilidade desta vulnerabilidade, os administradores podem ter de implementar a solução de solução antes de aplicarem a atualização de segurança, de modo a permitir-lhes atualizar os seus sistemas utilizando uma cadência de implementação padrão.
Solução
Importante Siga cuidadosamente os passos indicados nesta secção. Poderão ocorrer problemas graves se modificar o registo de forma incorreta. Antes de o modificar, faça uma cópia de segurança do registo para o restaurar caso ocorram problemas.
Para contornar esta vulnerabilidade, faça a seguinte alteração de registo para restringir o tamanho do maior pacote de resposta DNS baseado em TCP que é permitido:
Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parâmetros Valor = TcpReceivePacketSize Tipo = DWORD Dados de valor = 0xFF00
Notas
-
O predefinido (também máximo) Dados de valor = 0xFFFF.
-
Se este valor de registo for colado ou for aplicado a um servidor através da Política de Grupo, o valor é aceite mas não será definido de facto para o valor que espera. O valor 0x não pode ser digitado na caixa de dados value. No entanto, pode ser colado. Se colar o valor, obtém um valor decimal de 4325120.
-
Esta solução aplica-se ao FF00 como o valor que tem um valor decimal de 65280. Este valor é 255 inferior ao valor máximo permitido de 65.535.
-
Tem de reiniciar o Serviço DNS para que a alteração do registo produza efeitos. Para isso, executar o seguinte comando com uma solicitação de comando elevada:
net stop dns && net start dns
Após a solução solução ser implementada, um servidor DNS do Windows não será capaz de resolver os nomes DNS para os seus clientes se a resposta do DNS do servidor a montante for superior a 65.280 bytes.
Informações importantes sobre esta solução
Os pacotes de resposta DNS baseados em TCP que excedam o valor recomendado serão eliminados sem erro. Portanto, é possível que algumas consultas possam não ser respondidas. Isto pode causar uma falha inesperada. Um servidor DNS só será impactado negativamente por esta solução se receber respostas TCP válidas que sejam superiores às permitidas na mitigação anterior (mais de 65.280 bytes). O valor reduzido é improvável que afete as implementações padrão ou consultas recursivas. No entanto, pode existir um caso de utilização não normalizado num determinado ambiente. Para determinar se a implementação do servidor será afetada negativamente por esta solução alternativa, deverá ativar a verificação de registos de diagnóstico e capturar um conjunto de amostras que seja representativo do seu fluxo de negócio típico. Em seguida, terá de rever os ficheiros de registo para identificar a presença de pacotes de resposta TCP anómalamente grandes Para mais informações, consulte O Registo e Diagnóstico de DNS.
Perguntas mais frequentes
A solução está disponível em todas as versões do Windows Server com a função DNS.
Confirmamos que esta definição de registo não afeta as Transferências de Zonas DNS.
Não, ambas as opções não são necessárias. Aplicar a atualização de segurança a um sistema resolve esta vulnerabilidade. A solução baseada no registo fornece proteções a um sistema quando não é possível aplicar imediatamente a atualização de segurança e não deve ser considerada como uma substituição da atualização de segurança. Após a aplicação da atualização, a solução já não é necessária e deve ser removida.
A solução é compatível com a atualização de segurança. No entanto, a modificação do registo deixará de ser necessária após a aplicação da atualização. As melhores práticas ditam que as modificações de registo sejam removidas quando já não são necessárias para evitar um potencial impacto futuro que possa resultar de uma configuração não normalizada.
Recomendamos que todos os que executam servidores DNS instalem a atualização de segurança o mais rapidamente possível. Se não conseguir aplicar a atualização imediatamente, poderá proteger o seu ambiente antes da sua cadência padrão para instalar atualizações.
Não. A definição de registo é específica para os pacotes de resposta DNS baseados em TCP e não afeta globalmente o processamento de mensagens TCP em geral.
