บทความนี้จะนำไปใช้กับเวอร์ชัน Windows server ต่อไปนี้โดยเฉพาะ:
-
Windows Server, เวอร์ชัน๒๐๐๔ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server, เวอร์ชัน๑๙๐๙ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server, เวอร์ชัน๑๙๐๓ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server, เวอร์ชัน๑๘๐๓ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server ๒๐๑๙ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server ๒๐๑๙
-
Windows Server ๒๐๑๖ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server 2016
-
Windows Server ๒๐๑๒ R2 (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server 2012 R2
-
Windows Server ๒๐๑๒ (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server 2012
-
Windows Server ๒๐๐๘ R2 สำหรับระบบที่ใช้ x64 Service Pack 1 (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server ๒๐๐๘ R2 สำหรับระบบที่ใช้ x64 Service Pack 1
-
Windows Server ๒๐๐๘สำหรับระบบที่ใช้ x64 Service Pack 2 (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server ๒๐๐๘สำหรับระบบที่ใช้ x64 Service Pack 2
-
Windows Server ๒๐๐๘สำหรับระบบ๓๒บิต Service Pack 2 (การติดตั้งเซิร์ฟเวอร์หลัก)
-
Windows Server ๒๐๐๘สำหรับระบบ๓๒บิต Service Pack 2
บทนำ
เมื่อวันที่14กรกฎาคม๒๐๒๐ไมโครซอฟท์เผยแพร่การอัปเดตความปลอดภัยสำหรับปัญหาที่อธิบายไว้ในCVE-2020-1350 | ช่องโหว่การดำเนินการโค้ดระยะไกลของ Windows DNS Server คำแนะนำนี้จะอธิบายเกี่ยวกับช่องโหว่การดำเนินการโค้ดระยะไกล (RCE) ที่มีผลต่อเซิร์ฟเวอร์ Windows ที่ได้รับการกำหนดค่าให้เรียกใช้บทบาทเซิร์ฟเวอร์ DNS เราขอแนะนำให้ผู้ดูแลเซิร์ฟเวอร์ใช้การอัปเดตการรักษาความปลอดภัยที่ใช้งานได้สะดวกที่สุด
วิธีแก้ไขปัญหาชั่วคราวที่ยึดตามรีจิสทรีสามารถใช้เพื่อช่วยป้องกันเซิร์ฟเวอร์ Windows ที่ได้รับผลกระทบและสามารถนำไปใช้ได้โดยไม่ต้องมีผู้ดูแลระบบเพื่อเริ่มการทำงานของเซิร์ฟเวอร์ใหม่ เนื่องจากความผันผวนของช่องโหว่นี้ผู้ดูแลระบบอาจจำเป็นต้องใช้วิธีแก้ไขปัญหาก่อนที่จะนำการอัปเดตความปลอดภัยไปใช้เพื่อให้สามารถอัปเดตระเบียนได้โดยใช้การปรับใช้มาตรฐาน
วิธีแก้ไขปัญหาชั่วคราว
สิ่งสำคัญ ทำตามขั้นตอนในส่วนนี้อย่างระมัดระวัง ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ก่อนที่คุณจะปรับเปลี่ยนให้ สำรองข้อมูลรีจิสทรีสำหรับการคืน ค่าในกรณีที่มีปัญหาเกิดขึ้น
เมื่อต้องการแก้ไขช่องโหว่นี้ให้ทำการเปลี่ยนแปลงรีจิสทรีต่อไปนี้เพื่อจำกัดขนาดของแพคเก็ตการตอบสนอง DNS ที่ใช้ TCP ที่ใหญ่ที่สุดที่อนุญาตให้ทำดังนี้
คีย์: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters ค่า = TcpReceivePacketSize พิมพ์ = DWORD ข้อมูลค่า = 0xFF00
หมายเหตุ
-
ข้อมูลค่าเริ่มต้น (ยังสูงสุด) = 0xFFFF
-
ถ้าค่ารีจิสทรีนี้ถูกวางหรือถูกนำไปใช้กับเซิร์ฟเวอร์ผ่านนโยบายกลุ่มค่าจะได้รับการยอมรับแล้วแต่จะไม่ถูกตั้งค่าเป็นค่าที่คุณคาดหวัง ไม่สามารถพิมพ์ค่า 0x ลงในกล่อง ข้อมูลค่า ได้ อย่างไรก็ตามคุณสามารถวางได้ ถ้าคุณวางค่าคุณจะได้รับค่าทศนิยมของ๔๓๒๕๑๒๐
-
วิธีแก้ไขปัญหาชั่วคราวนี้ใช้ FF00 เป็นค่าที่มีค่าทศนิยมของ๖๕๒๘๐ ค่านี้เป็น๒๕๕น้อยกว่าค่าสูงสุดที่อนุญาตของ๖๕,๕๓๕
-
คุณต้องเริ่มบริการ DNS ใหม่เพื่อให้การเปลี่ยนแปลงรีจิสทรีมีผลใช้งาน เมื่อต้องการทำเช่นนี้ให้เรียกใช้คำสั่งต่อไปนี้ที่พร้อมท์คำสั่ง:
net stop dns && net start dns
หลังจากที่มีการใช้วิธีแก้ไขปัญหาชั่วคราวเซิร์ฟเวอร์ DNS ของ Windows จะไม่สามารถแก้ไขชื่อ DNS สำหรับไคลเอ็นต์ได้ถ้าการตอบสนอง DNS จากเซิร์ฟเวอร์ upstream มีขนาดใหญ่กว่าไบต์๖๕,๒๘๐
ข้อมูลที่สำคัญเกี่ยวกับวิธีแก้ไขปัญหาชั่วคราวนี้
แพคเก็ตการตอบสนอง DNS ที่ใช้ TCP ที่เกินค่าที่แนะนำจะถูกลบออกโดยไม่มีข้อผิดพลาด ดังนั้นอาจเป็นไปได้ว่าคิวรีบางอย่างอาจไม่ได้รับคำตอบ ซึ่งอาจทำให้เกิดความล้มเหลวของคาด เซิร์ฟเวอร์ DNS จะได้รับผลกระทบจากการแก้ปัญหานี้เฉพาะเมื่อได้รับการตอบสนอง TCP ที่ถูกต้องที่มีค่ามากกว่าที่อนุญาตในการบรรเทาก่อนหน้านี้ (มากกว่า๖๕,๒๘๐ไบต์) ค่าที่ลดลงไม่น่าจะส่งผลต่อการปรับใช้มาตรฐานหรือแบบสอบถามแบบใช้ซ้ำ อย่างไรก็ตามกรณีที่ไม่ได้ใช้งานมาตรฐานอาจมีอยู่ในสภาพแวดล้อมที่กำหนด เมื่อต้องการตรวจสอบว่าการใช้งานเซิร์ฟเวอร์จะได้รับผลกระทบจากวิธีแก้ไขปัญหานี้หรือไม่คุณควรเปิดใช้งานการบันทึกการวินิจฉัยและจับภาพชุดตัวอย่างที่เป็นตัวแทนของโฟลว์ทางธุรกิจทั่วไปของคุณ จากนั้นคุณจะต้องตรวจทานไฟล์บันทึกเพื่อระบุการแสดงตนของแพคเก็ตการตอบสนอง TCP anomalously ขนาดใหญ่ สำหรับข้อมูลเพิ่มเติมให้ดูที่การบันทึกและการวินิจฉัย DNS
คำถามที่ถามบ่อย
วิธีแก้ไขปัญหาชั่วคราวจะพร้อมใช้งานบน Windows Server ทุกเวอร์ชันที่เรียกใช้บทบาท DNS
เราได้รับการยืนยันว่าการตั้งค่ารีจิสทรีนี้ไม่มีผลต่อการโอนย้ายโซน DNS
ไม่จำเป็นต้องมีตัวเลือกทั้งสองตัวเลือก การนำการปรับปรุงการรักษาความปลอดภัยไปใช้กับระบบจะช่วยแก้ไขช่องโหว่นี้ วิธีแก้ไขปัญหาชั่วคราวที่ใช้รีจิสทรีมีการป้องกันระบบเมื่อคุณไม่สามารถนำการอัปเดตความปลอดภัยไปใช้ได้ทันทีและไม่ควรถือว่าเป็นการเปลี่ยนแปลงการอัปเดตความปลอดภัย หลังจากที่มีการนำการอัปเดตแล้วการแก้ไขปัญหาจะไม่จำเป็นอีกต่อไปและควรถูกเอาออก
วิธีแก้ไขปัญหาชั่วคราวเข้ากันได้กับการอัปเดตความปลอดภัย อย่างไรก็ตามการปรับเปลี่ยนรีจิสทรีจะไม่จำเป็นต้องใช้อีกต่อไปหลังจากที่มีการนำการปรับปรุงไปใช้ แนวทางปฏิบัติที่ดีที่สุดที่กำหนดว่าการปรับเปลี่ยนรีจิสทรีจะถูกเอาออกเมื่อไม่ต้องการป้องกันผลกระทบที่อาจเกิดขึ้นในอนาคตที่อาจทำให้เกิดการเรียกใช้การกำหนดค่าที่ไม่เป็นมาตรฐาน
เราขอแนะนำให้ทุกคนที่เรียกใช้เซิร์ฟเวอร์ DNS เพื่อติดตั้งการอัปเดตความปลอดภัยให้เร็วที่สุดเท่าที่จะเป็นไปได้ ถ้าคุณไม่สามารถใช้การอัปเดตได้ทันทีคุณจะสามารถปกป้องสภาพแวดล้อมของคุณก่อนที่จะได้รับการติดตั้งการอัปเดตเป็นมาตรฐาน
ไม่ใช่ การตั้งค่ารีจิสทรีมีไว้เฉพาะกับแพคเก็ตการตอบสนอง DNS ที่ใช้ขาเข้าและไม่มีผลกระทบต่อการประมวลผลข้อความ TCP ของระบบในทั่วไปโดยทั่วไป