Tento článok sa vzťahuje najmä na tieto verzie Windows servera:
-
Windows Server, verzia 2004 (inštalácia jadra servera)
-
Windows Server, verzia 1909 (inštalácia jadra servera)
-
Windows Server, verzia 1903 (inštalácia jadra servera)
-
Windows Server, verzia 1803 (inštalácia jadra servera)
-
Windows Server 2019 (inštalácia jadra servera)
-
Windows Server 2019
-
Windows Server 2016 (inštalácia jadra servera)
-
Windows Server 2016
-
Windows Server 2012 R2 (inštalácia jadra servera)
-
Windows Server 2012 R2
-
Windows Server 2012 (inštalácia jadra servera)
-
Windows Server 2012
-
Windows Server 2008 R2 pre systémy s procesorom x64 Service Pack 1 (inštalácia jadra servera)
-
Windows Server 2008 R2 pre systémy s procesorom x64 Service Pack 1
-
Windows Server 2008 pre systémy s procesorom x64 Service Pack 2 (inštalácia jadra servera)
-
Windows Server 2008 pre 64-bitové systémy Service Pack 2
-
Windows Server 2008 pre 32-bitové systémy Service Pack 2 (inštalácia jadra servera)
-
Windows Server 2008 pre 32-bitové systémy Service Pack 2
Úvod
14. júla 2020 spoločnosť Microsoft vydala aktualizáciu zabezpečenia problému, ktorý je popísaný v CVE-2020-1350 | Chyba zabezpečenia vzdialeného spustenia kódu Windows servera DNS. Tento poradný článok popisuje zraniteľnosť kritického vzdialeného spustenia kódu (regionálna konkurencieschopnosť), ktorá sa týka serverov Windowsu, ktoré sú nakonfigurované na spustenie roly DNS servera. Dôrazne odporúčame, aby správcovia servera použili aktualizáciu zabezpečenia na najskoršie pohodlie.
Alternatívne riešenie založené na databáze Registry sa môže použiť na ochranu poškodeného Windows servera a môže byť implementované bez toho, aby sa vyžadovalo, aby správca reštartoval server. Z dôvodu nestálosti tejto zraniteľnosti je možné, že správcovia budú musieť implementovať alternatívne riešenie skôr, než uplatnia aktualizáciu zabezpečenia, aby mohli aktualizovať svoje systémy pomocou štandardnej kadencie nasadenia.
Alternatívne riešenie
Dôležité Postupujte presne podľa krokov uvedených v tejto časti. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Skôr než ho upravíte, zálohujte databázu Registry na obnovenie v prípade výskytu problémov.
Ak chcete obísť túto zraniteľnosť, vykonajte nasledujúcu zmenu databázy Registry na obmedzenie veľkosti najväčšieho prichádzajúceho paketu odpovedí DNS založeného na protokole TCP, ktorý je povolený:
Kláves: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Hodnota = TcpReceivePacketSize Zadajte = DWORD Hodnota data = 0xFF00
Poznámky:
-
Predvolená (aj maximálna) hodnota data = 0xFFFF.
-
Ak je táto hodnota databázy Registry prilepená alebo sa použije na server prostredníctvom skupinovej politiky, hodnota je prijatá, ale v skutočnosti nebude nastavená na hodnotu, ktorú očakávate. Hodnota 0x sa nedá zadať do poľa údaj hodnoty . Môže sa však Prilepiť. Ak prilepíte hodnotu, zobrazí sa desatinná hodnota 4325120.
-
Toto alternatívne riešenie sa použije FF00 ako hodnota, ktorá má desatinnú hodnotu 65280. Táto hodnota je 255 menšia ako maximálna povolená hodnota 65 535.
-
Ak chcete, aby sa zmena databázy Registry prejavila, musíte reštartovať službu DNS. Ak to chcete urobiť, spustite nasledujúci príkaz v príkazovom riadku s právami správcu:
net stop dns && net start dns
Po implementácii alternatívneho riešenia bude DNS server systému Windows schopný preložiť DNS názvy svojich klientov v prípade, že odpoveď DNS zo servera Upstream je väčšia ako 65 280 bajtov.
Dôležité informácie o tomto alternatívnom riešení
Pakety odpovedí DNS založené na protokole TCP, ktoré presahujú odporúčanú hodnotu, sa vynechá bez chyby. Z tohto dôvodu je možné, že niektoré dotazy sa nemusia odpovedať. Môže to spôsobiť neočakávané zlyhanie. DNS server bude mať negatívny vplyv na toto alternatívne riešenie iba v prípade, že dostane platné odpovede TCP, ktoré sú väčšie ako povolené v predchádzajúcom zmierňovaní (viac ako 65 280 bajtov). Znížená hodnota pravdepodobne neovplyvní štandardné nasadenia alebo rekurzívny dotaz. V danom prostredí však môže existovať neštandardné použitie prípadu. Ak chcete zistiť, či je implementácia servera nepriaznivo ovplyvnená týmto alternatívnym riešením, mali by ste povoliť zapisovanie do denníka pre diagnostiku a zachytiť ukážkovú množinu, ktorá je reprezentatívna pre typický obchodný tok. Potom budete musieť skontrolovať súbory denníkov, aby ste identifikovali prítomnosť neobvyklých veľkých paketov odpovedí TCP. Ďalšie informácie nájdete v téme zapisovanie do denníka DNS a diagnostika.
Najčastejšie otázky
Alternatívne riešenie je k dispozícii vo všetkých verziách systému Windows Server so spustenou rolou DNS.
Potvrdili sme, že toto nastavenie databázy Registry nemá vplyv na prevody zóny DNS.
Nie, obidve možnosti nie sú povinné. Pri použití aktualizácie zabezpečenia systému sa táto chyba vyrieši. Riešenie založené na databáze Registry poskytuje ochranu systému v prípade, že sa aktualizácia zabezpečenia nedá okamžite použiť a nemala by sa považovať za náhradu aktualizácie zabezpečenia. Po použití aktualizácie riešenie už nie je potrebné a mali by ste ich odstrániť.
Alternatívne riešenie je kompatibilné s aktualizáciou zabezpečenia. Po použití aktualizácie sa však úprava databázy Registry už nebude potrebovať. Najvhodnejšie postupy určujú, že úpravy databázy Registry sa odstránia, ak už nie sú potrebné na predchádzanie potenciálnemu budúcemu vplyvu, ktorý by mohol spôsobiť spustenie neštandardnej konfigurácie.
Odporúčame všetkým, ktorí spustia servery DNS, aby čo najskôr nainštalovali aktualizáciu zabezpečenia. Ak sa vám nedarí ihneď použiť aktualizáciu, budete môcť chrániť svoje prostredie pred nastavením štandardnej kadencie na inštaláciu aktualizácií.
nie. Nastavenie databázy Registry je špecifické pre prichádzajúce pakety odpovedí DNS založené na protokole TCP a globálne neovplyvňuje spracovanie TCP správ systému vo všeobecnosti.
