Ta članek posebej velja za te različice sistema Windows Server:
-
Windows Server, različica 2004 (osnovna namestitev strežnika)
-
Windows Server, različica 1909 (osnovna namestitev strežnika)
-
Windows Server, različica 1903 (osnovna namestitev strežnika)
-
Windows Server, različica 1803 (osnovna namestitev strežnika)
-
Windows Server 2019 (namestitev jedra strežnika)
-
Windows Server 2019
-
Windows Server 2016 (namestitev jedra strežnika)
-
Windows Server 2016
-
Windows Server 2012 R2 (osnovna namestitev strežnika)
-
Windows Server 2012 R2
-
Windows Server 2012 (namestitev jedra strežnika)
-
Windows Server 2012
-
Windows Server 2008 R2 za sisteme s sistemom x64, ki temelji na arhitekturi (osnovna namestitev strežnika)
-
Windows Server 2008 R2 za sistemske pakete s sistemom x64
-
Windows Server 2008 za sisteme s sistemom x64, ki temelji na arhitekturi SP2 (strežnik Core Installation)
-
Servisni paket SP2 za Windows Server 2008 za sisteme s sistemom x64
-
Windows Server 2008 za 32 – bitna različica sistema SP2 (strežnik Core Installation)
-
Windows Server 2008 za 32-bitni sistemski servisni paket SP2
Uvod
14. julija 2020 je Microsoft izdal varnostno posodobitev za težavo, ki je opisana v CVE-2020-1350 | Ranljivost izvajanja oddaljene kode za Windows DNS Server. V tem posvetovalnem članku je opisana ranljivost kritičnega izvajanja oddaljene kode (RCE), ki vpliva na strežnike sistema Windows, ki so konfigurirani za zagon vloge strežnika DNS. Toplo priporočamo, da skrbniki strežnikov uporabijo varnostno posodobitev ob najzgodnejši prikladnosti.
Rešitev, ki temelji na registru, lahko uporabite za zaščito prizadetih strežnikov sistema Windows in ga je mogoče izvesti brez zahteve skrbnika, da znova zažene strežnik. Zaradi nestanovitnosti te ranljivosti bodo skrbniki morda morali izvesti nadomestno rešitev, preden uporabijo varnostno posodobitev, da bodo lahko posodobili svoje sisteme z uporabo standardnega ritma uvajanja.
Rešitev
Pomembno Pazljivo sledite korakom v tem razdelku. Če nepravilno spremenite register, lahko pride do resnih težav. Preden jo spremenite, varnostno kopirate register za obnovitev , če pride do težav.
Če se želite izogniti tej ranljivosti, naredite to spremembo registra, da omejite velikost največjega dohodnega paketa s protokolom DNS, ki je na voljo v TCP-ju, ki je dovoljen:
Ključ: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize Vnesite = DWORD Podatki o vrednosti = 0xFF00
Opombe
-
Privzeto (tudi največja) vrednost podatkov = 0xffff.
-
Če je ta vrednost registra prilepljena ali uporabljena za strežnik prek pravilnika skupine, je vrednost sprejeta, vendar ne bo dejansko nastavljena na vrednost, ki jo pričakujete. Vrednosti 0x ni mogoče vnašati v polje podatki o vrednosti . Vendar pa ga je mogoče prilepiti. Če prilepite vrednost, dobite desetiško vrednost 4325120.
-
Ta rešitev velja FF00 kot vrednost, ki ima desetiško vrednost 65280. Ta vrednost je 255 manjša od največje dovoljene vrednosti 65.535.
-
Če želite, da se sprememba registra začne veljati, morate znova zagnati storitev DNS. Če želite to narediti, zaženite ta ukaz pri povišanem ukaznem pozivu:
net stop dns && net start dns
Ko je rešitev izvedena, strežnik DNS ne bo mogel razrešiti imen DNS za svoje odjemalce, če je odgovor DNS iz strežnika za oddajanje večji od 65.280 bajtov.
Pomembne informacije o tej rešitvi
Paketi za odziv DNS, ki temeljijo na TCP-ju, ki presegajo priporočeno vrednost, bodo izpuščeni brez napak. Zato je možno, da nekatere poizvedbe morda ne bodo uslišane. To lahko povzroči nepričakovano napako. Ta rešitev bo negativno vplivala na strežnik DNS le, če prejme veljavne odgovore TCP, ki so večji od dovoljenih v prejšnji blaženosti (več kot 65.280 bajtov). Zmanjšana vrednost je malo verjetno, da vpliva na standardne uvedbe ali rekurzivne poizvedbe. Vendar pa lahko v danem okolju obstaja nestandardna uporaba. Če želite ugotoviti, ali bo ta rešitev škodljivo vplivala na strežnik, morate omogočiti diagnostično pisanje dnevnika in zajeti nabor vzorcev, ki je reprezentativen za vaš tipičen poslovni tok. Nato boste morali pregledati dnevniške datoteke, da prepoznate prisotnost anomalously velikih paketov TCP odzivov. Če želite več informacij, glejte beleženje zapisov DNS in diagnostika.
Pogosta vprašanja
Rešitev je na voljo v vseh različicah sistema Windows Server, v kateri se izvaja vloga DNS.
Potrdili smo, da ta nastavitev registra ne vpliva na prenose v območju DNS.
Ne, obe možnosti nista zahtevani. Z uporabo varnostne posodobitve sistem razreši to ranljivost. Rešitev, ki temelji na registru, zagotavlja zaščito v sistemu, če ne morete takoj uporabiti varnostne posodobitve in jih ne bi smeli obravnavati kot zamenjavo varnostne posodobitve. Ko je posodobitev uporabljena, rešitev ni več potrebna in jo je treba odstraniti.
Rešitev je združljiva z varnostno posodobitvijo. Vendar pa spremembe registra ne bodo več potrebne po uporabi posodobitve. Najboljše prakse narekujejo, da se spremembe registra odstranijo, ko niso več potrebne za preprečitev morebitnega prihodnjega učinka, ki bi lahko povzročil zagon nestandardne konfiguracije.
Priporočamo, da vsi, ki zaženejo DNS strežnike, takoj, ko je mogoče, namestijo varnostno posodobitev. Če ne morete takoj uporabiti posodobitve, boste lahko zaščitili okolje pred standardnim ritmom za namestitev posodobitev.
ne. Nastavitev registra je značilna za dohodne pakete odziva DNS, ki temeljijo na TCP-ju, in ne vpliva globalno na obdelavo sporočil v sistemu TCP na splošno.
