Эта статья относится только к следующим версиям Windows Server:
-
Windows Server версии 2004 (Установка ядра сервера)
-
Windows Server версии 1909 (Установка ядра сервера)
-
Windows Server версии 1903 (Установка ядра сервера)
-
Windows Server версии 1803 (Установка ядра сервера)
-
Windows Server 2019 (Установка ядра сервера)
-
Windows Server 2019
-
Windows Server 2016 (Установка ядра сервера)
-
Windows Server 2016
-
Windows Server 2012 R2 (Установка ядра сервера)
-
Windows Server 2012 R2
-
Windows Server 2012 (Установка ядра сервера)
-
Windows Server 2012
-
Windows Server 2008 R2 с пакетом обновления 1 (SP1) для 64-разрядных систем (установка основных серверных компонентов)
-
Windows Server 2008 R2 с пакетом обновления 1 (SP1) для 64-разрядных систем
-
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (Установка ядра сервера)
-
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)
-
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (Установка ядра сервера)
-
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)
Введение
14 июля 2020 г. Корпорация Майкрософт выпустила обновление для системы безопасности для устранения проблем, описанных в CVE-2020-1350 | Уязвимость удаленного выполнения кода в DNS-сервере Windows. В этой статье описано критическое уязвимое место удаленного выполнения кода (RCE), которое влияет на серверы Windows, настроенные на выполнение роли DNS-сервера. Корпорация Майкрософт настоятельно рекомендует администраторам сервера установить обновление для системы безопасности с самого раннего удобства.
Временное решение на основе реестра можно использовать для защиты соответствующего сервера Windows, и его можно реализовать, не требуя от администратора перезапуска сервера. Из-за этой уязвимости администраторам может потребоваться применить временное решение, прежде чем они будут применены к обновлению системы безопасности, чтобы они могли обновлять системы с помощью стандартной ритмичности развертывания.
Обходное решение
Важно! Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Перед тем как вносить изменения, создавайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы обойти эту уязвимость, внесите указанные ниже изменения в реестр, чтобы ограничить размер максимально допустимого входящего пакета ответа DNS на основе TCP:
Клавиша: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize Type = DWORD Данные значения = 0xFF00
Примечания.
-
Значение, заданное по умолчанию (также Maximum), равно 0xFFFF.
-
Если это значение реестра вставлено или применено на сервере с помощью групповой политики, оно принимается, но фактически не будет установлено в качестве ожидаемого значения. Значение 0x не может быть введено в поле данных значения . Однако его можно вставить. При вставке значения получается десятичное значение 4325120.
-
Это временное решение применяет FF00 как значение, которое имеет десятичное значение 65280. Это значение равно 255 меньше максимально допустимого значения 65 535.
-
Чтобы изменения в реестре вступили в силу, необходимо перезапустить службу DNS. Для этого выполните следующую команду в командной строке с повышенными привилегиями:
net stop dns && net start dns
После того как решение будет применено, DNS-сервер Windows не сможет разрешить DNS-имена для своих клиентов, если размер ответа DNS на вышестоящем сервере превышает 65 280 байт.
Важные сведения об этом временном решении
Пакеты ответа DNS, превышающие рекомендуемое значение, будут отброшены без ошибок. Следовательно, возможно, что некоторые запросы могут не ответить. Это может привести к непредвиденному сбою. Это решение может отрицательно повлиять на DNS-сервер, только если он получает допустимые ответы TCP, превышающие разрешенные в ходе предыдущего устранения (более 65 280 байт). Снижение значения скорее всего не влияет на стандартные развертывания или рекурсивные запросы. Тем не менее стандартный сценарий использования может существовать в данной среде. Чтобы определить, может ли реализация сервера негативно повлиять на этот обход, необходимо включить ведение журнала диагностики и захватить образец, который является представителем типичного рабочего процесса. После этого вам потребуется просмотреть файлы журнала, чтобы определить наличие нетипичных пакетов ответа TCP. Дополнительные сведения можно найти в разделе ведение журнала DNS и диагностика.
Типичные вопросы
Временное решение доступно во всех версиях Windows Server, на которых выполняется роль DNS.
Мы подтвердили, что этот параметр реестра не влияет на передачу зон DNS.
Нет, оба варианта не являются обязательными. После установки обновления для системы безопасности система устраняет эту уязвимость. Временное решение на основе реестра обеспечивает защиту системы, если вы не можете немедленно установить обновление для системы безопасности и не хотите рассматривать его как замену обновлению для системы безопасности. После применения обновления временное решение больше не требуется и должно быть удалено.
Это решение совместимо с обновлением для системы безопасности. Однако после применения обновления изменения, внесенные в реестр, больше не потребуется. Рекомендации заключаются в том, что изменения в реестре удаляются, когда они больше не нужны, чтобы предотвратить возможные последствия в будущем, которые могут привести к запуску нестандартной конфигурации.
Корпорация Майкрософт рекомендует всем пользователям DNS-серверов устанавливать обновление для системы безопасности как можно скорее. Если вы не можете установить обновление прямо сейчас, вы сможете защитить среду до стандартной ритмичности для установки обновлений.
Нет. Параметр реестра специфичен для входящих пакетов ответов DNS на основе TCP и не является глобально влиянием системы на обработку сообщений TCP в целом.
