Den här artikeln gäller särskilt följande Windows Server-versioner:
-
Windows Server, version 2004 (Server Core-installation)
-
Windows Server, version 1909 (Server Core-installation)
-
Windows Server, version 1903 (Server Core-installation)
-
Windows Server, version 1803 (Server Core-installation)
-
Windows Server 2019 (Server Core-installation)
-
Windows Server 2019
-
Windows Server 2016 (Server Core-installation)
-
Windows Server 2016
-
Windows Server 2012 R2 (Server Core-installation)
-
Windows Server 2012 R2
-
Windows Server 2012 (Server Core-installation)
-
Windows Server 2012
-
Windows Server 2008 R2 för x64-baserade datorer Service Pack 1 (Server Core-installation)
-
Windows Server 2008 R2 för x64-baserade datorer Service Pack 1
-
Windows Server 2008 för x64-baserade datorer Service Pack 2 (Server Core-installation)
-
Windows Server 2008 för x64-baserade datorer Service Pack 2
-
Windows Server 2008 för 32-bitars versioner av Service Pack 2 (Server Core-installation)
-
Windows Server 2008 för 32-bitars versionen av Service Pack 2
Inledning
Den 14 juli 2020 släppte Microsoft en säkerhets uppdatering för det problem som beskrivs i CVE-2020-1350 | Säkerhets problem med fjärrkörning av kod i Windows DNS Server. I den här rekommendationen beskrivs ett kritiskt säkerhets problem med RCE som påverkar Windows-servrar som har kon figurer ATS för att köra DNS Server-rollen. Vi rekommenderar starkt att Server administratörer installerar säkerhets uppdateringen vid den senaste bekvämligheten.
En registerbaserad lösning kan användas för att skydda en Windows-Server och det kan implementeras utan att administratören måste starta om servern. På grund av Volatility av detta problem kanske administratörer måste implementera lösningen innan de installerar säkerhets uppdateringen för att de ska kunna uppdatera sina system med hjälp av en vanlig distributions tider.
Lösning
Viktigt Följ stegen i det här avsnittet noggrant. Det kan uppstå allvarliga problem om du gör felaktiga ändringar i registret. Innan du ändrar det bör du först säkerhetskopiera registret för att kunna återställa det om problem skulle uppstå.
Undvik det här problemet genom att göra följande register ändring för att begränsa storleken på det högsta inkommande TCP-baserade DNS-paketfilter som tillåts:
Knappen: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Värde = TcpReceivePacketSize Skriv = DWORD Värde data = 0xFF00
Kommentarer
-
Standardvärdet (också maximum) = 0xffff.
-
Om registervärdet är inklistrat eller tillämpas på en server via grup princip godkänns värdet men kommer inte att anges till det värde som du förväntar dig. Värdet 0x kan inte anges i rutan Värde data . Men det kan klistras in. Om du klistrar in värdet får du ett Decimal värde på 4325120.
-
Den här lösningen gäller FF00 som värde med ett Decimal värde på 65280. Det här värdet är 255 mindre än det högsta tillåtna värdet för 65 535.
-
Du måste starta om DNS-tjänsten för att ändringarna ska börja gälla. Det gör du genom att köra följande kommando vid en upphöjd kommando tolk:
net stop dns && net start dns
När du har implementerat lösningen kan en Windows DNS-server inte matcha DNS-namn för sina klienter om DNS-svaret från den överordnade servern är större än 65 280 byte.
Viktig information om den här lösningen
TCP-baserade DNS-svarsmeddelanden som överskrider det rekommenderade värdet ignoreras utan fel. Därför är det möjligt att vissa frågor kanske inte besvaras. Detta kan orsaka oväntat fel. En DNS-server kommer inte att påverka denna lösning bara om den får giltiga TCP-svar som är större än vad som tillåts under den föregående minskningen (fler än 65 280 byte). Det reducerade värdet är osannolikt att det påverkar vanliga distributioner eller rekursiva frågor. Men en icke-standardanvändning kan förekomma i en given miljö. För att avgöra om Server implementeringen påverkas negativt av den här lösningen bör du aktivera diagnostikloggning och skapa en urvals uppsättning som är representativ för ditt typiska affärs flöde. Sedan måste du granska loggfilerna för att identifiera närvaron av anomalously stora TCP-svarsmeddelanden Mer information finns i DNS-loggning och-diagnostik.
Vanliga frågor och svar
Lösningen är tillgänglig i alla versioner av Windows Server med DNS-rollen.
Vi har bekräftat att den här register inställningen inte påverkar överföring av DNS-zoner.
Nej, du behöver inte båda alternativen. Detta problem löses genom att säkerhets uppdateringen tillämpas på ett system. Den registerbaserade lösningen ger skydd till ett system när du inte kan tillämpa säkerhets uppdateringen omedelbart och bör inte betraktas som en ersättning för säkerhets uppdateringen. När uppdateringen har installerats behövs inte längre lösningen och bör tas bort.
Lösningen är kompatibel med säkerhets uppdateringen. Men ändringen behövs inte längre efter att uppdateringen har installerats. Metod tips anger att register ändringar tas bort när de inte längre behövs för att förhindra eventuell framtida påverkan som kan resultera i att en icke-standardkonfiguration körs.
Vi rekommenderar att alla som kör DNS-servrar för att installera säkerhets uppdateringen så snart som möjligt. Om du inte kan tillämpa uppdateringen direkt kan du skydda din miljö innan du installerar uppdateringar med tider.
Nej. Register inställningen är specifik för inkommande TCP-baserade DNS-svarsmeddelanden och påverkar inte heller att ett system bearbetar TCP-meddelanden.
