Acest articol se aplică în mod specific următoarelor versiuni Windows Server:
-
Windows Server, versiunea 2004 (Instalarea Server Core)
-
Windows Server, versiunea 1909 (Instalarea Server Core)
-
Windows Server, versiunea 1903 (Instalarea Server Core)
-
Windows Server, versiunea 1803 (Instalarea Server Core)
-
Windows Server 2019 (Instalarea Server Core)
-
Windows Server 2019
-
Windows Server 2016 (Instalarea Server Core)
-
Windows Server 2016
-
Windows Server 2012 R2 (Instalarea Server Core)
-
Windows Server 2012 R2
-
Windows Server 2012 (Instalarea Server Core)
-
Windows Server 2012
-
Windows Server 2008 R2 pentru sistemele pe 64 de biți Service Pack 1 (instalare Server Core)
-
Windows Server 2008 R2 pentru sistemele pe 64 de biți Service Pack 1
-
Windows Server 2008 pentru sistemele pe 64 de biți Service Pack 2 (instalare Server Core)
-
Windows Server 2008 pentru sistemele x64 Service Pack 2
-
Windows Server 2008 pentru 32-bit Systems Service Pack 2 (instalare Server Core)
-
Windows Server 2008 pentru 32-bit Systems Service Pack 2
Introducere (articolul poate să fie în limba engleză)
Pe 14 iulie 2020, Microsoft a lansat o actualizare de securitate pentru problema descrisă în CVE-2020-1350 | Vulnerabilitatea de execuție a codului Windows DNS server la distanță. Acest sfat consultativ descrie o vulnerabilitate critică executarea de cod la distanță (RCE) care afectează serverele Windows care sunt configurate pentru a rula rolul DNS server. Vă recomandăm insistent ca administratorii serverului să aplice actualizarea de securitate cât mai curând posibil.
O soluție bazată pe registry poate fi utilizată pentru a contribui la protejarea unui server Windows afectat și poate fi implementat fără a solicita unui administrator să reporniți serverul. Din cauza volatilității acestei vulnerabilități, administratorii pot avea pentru a implementa soluția înainte de a aplica actualizarea de securitate, pentru a le permite să își actualizeze sistemele utilizând o cadență standard de implementare.
Soluție de evitare
Important Urmaţi cu atenţie paşii din această secţiune. Dacă modificați incorect sistemul registry, pot apărea probleme grave. Înainte de a-l modifica, copiați de rezervă registry-ul în vederea restabilirii în cazul în care apar probleme.
Pentru a evita această vulnerabilitate, efectuați următoarea modificare de registry pentru a restricționa dimensiunea celui mai mare pachet de răspuns DNS bazat pe TCP care este permis:
Cheie: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize Type = DWORD Date valoare = 0xFF00
Note
-
Date valoare implicită (de asemenea maximă) = 0xFFFF.
-
Dacă această valoare de registry este lipită sau aplicată la un server prin Politica de grup, valoarea este acceptată, dar nu va fi setată efectiv la valoarea la care vă așteptați. Valoarea 0x nu se poate tasta în caseta date valoare . Cu toate acestea, poate fi lipit. Dacă lipiți valoarea, veți primi o valoare zecimală de 4325120.
-
Această soluție aplică FF00 ca valoare care are o valoare zecimală de 65280. Această valoare este 255 mai mică decât valoarea maximă permisă de 65.535.
-
Trebuie să reporniți serviciul DNS pentru ca modificarea registry să aibă efect. Pentru a face acest lucru, derulează următoarea comandă la un prompt de comandă privilegiat:
net stop dns && net start dns
După ce se implementează soluția, un server DNS Windows nu va putea rezolva numele DNS pentru clienții săi dacă răspunsul DNS de la serverul din amonte este mai mare decât 65.280 bytes.
Informații importante despre această soluție
Pachetele de răspunsuri DNS bazate pe TCP care depășesc valoarea recomandată vor fi retrase fără eroare. Prin urmare, este posibil ca unele interogări să nu răspundă. Acest lucru poate provoca o eroare neașteptată. Un server DNS va fi afectat negativ de această soluție doar dacă primește răspunsuri TCP valide care sunt mai mari decât cele permise în atenuarea anterioară (mai mult de 65.280 de octeți). Valoarea redusă este improbabil să afecteze implementările standard sau interogările recursive. Cu toate acestea, este posibil să existe un caz de utilizare non-standard într-un anumit mediu. Pentru a determina dacă implementarea serverului va fi afectată în mod negativ de această soluție, ar trebui să activați înregistrarea în jurnal de diagnosticare și să capturați un set de eșantioane reprezentativ pentru fluxul de afaceri tipic. Apoi, va trebui să revizuiți fișierele jurnal pentru a identifica prezența unor pachete de răspuns TCP anomalously mari Pentru mai multe informații, consultați înregistrarea în jurnal și diagnosticare DNS.
Întrebări frecvente
Soluția este disponibilă pe toate versiunile de Windows Server care rulează rolul DNS.
Am confirmat că această setare de registry nu afectează transferurile de zone DNS.
Nu, nu sunt necesare ambele opțiuni. Aplicarea actualizării de securitate la un sistem rezolvă această vulnerabilitate. Soluția bazată pe registry oferă protecții unui sistem atunci când nu puteți aplica imediat actualizarea de securitate și nu trebuie să fiți considerat ca înlocuitor al actualizării de securitate. După ce s-a aplicat actualizarea, soluția nu mai este necesară și ar trebui să fie eliminată.
Soluția este compatibilă cu actualizarea de securitate. Cu toate acestea, modificarea registry nu va mai fi necesară după aplicarea actualizării. Cele mai bune practici dictează faptul că modificările de registry sunt eliminate atunci când nu mai sunt necesare pentru a împiedica potențialul impact viitor care poate rezulta din executarea unei configurații nestandard.
Vă recomandăm ca toți cei care rulează serverele DNS să instaleze actualizarea de securitate cât mai curând posibil. Dacă nu reușiți să aplicați actualizarea imediat, veți putea să vă protejați mediul înainte de cadență standard pentru instalarea actualizărilor.
nu. Setarea registry este specifică pentru pachetele de răspunsuri DNS bazate pe TCP de intrare și nu afectează global procesarea mesajelor TCP în general.
