Ця стаття стосується таких версій Windows Server:
-
Windows Server, версія 2004 (інсталяція сервера Server)
-
Windows Server, версія 1909 (інсталяція сервера Server)
-
Windows Server, версія 1903 (інсталяція сервера Server)
-
Windows Server, версія 1803 (інсталяція сервера Server)
-
Windows Server 2019 (інсталяція серверного сервера)
-
Windows Server 2019
-
Windows Server 2016 (інсталяція серверного сервера)
-
Windows Server 2016
-
Windows Server 2012 R2 (інсталяція серверного сервера)
-
Windows Server 2012 R2
-
Windows Server 2012 (інсталяція серверного сервера)
-
Windows Server 2012
-
Windows Server 2008 R2 для x64-систем з пакетом оновлень 1 (інсталяція сервера на сервері)
-
Windows Server 2008 R2 для систем на основі x64-версії пакета оновлень 1
-
Windows Server 2008 для x64-систем з пакетом оновлень 2 (інсталяція сервера Server)
-
Windows Server 2008 для x64-систем з пакетом оновлень 2
-
Windows Server 2008 для 32-розрядних систем Service Pack 2 (інсталяція сервера на сервері)
-
Windows Server 2008 для 32-розрядної системи з пакетом оновлень 2
Вступ
14 липня 2020 р. корпорація Майкрософт випустила оновлення системи безпеки для цієї проблеми, описаної в службі САПР-2020-1350 | Дефект служби DNS-сервера Windows із віддаленим виконанням коду. У цій статті описано, як у вас є дефект, який впливає на сервери Windows, настроєні для виконання ролі DNS-сервера. Ми настійно рекомендуємо адміністраторам сервера використовувати оновлення системи безпеки на найраніші зручності.
Спосіб вирішення на основі реєстру можна використовувати для захисту ураженого сервера Windows, і його можна реалізувати, не вимагаючи від адміністратора перезавантаження сервера. Через нестабільність цієї вразливості адміністратори можуть виконувати спосіб вирішення, перш ніж застосовувати оновлення системи безпеки для того, щоб їх можна було оновлювати, використовуючи стандартну каденцію розгортання.
Інші способи вирішення
Важливо! Уважно виконуйте кроки в цьому розділі. Неправильне змінення реєстру може призвести до серйозних проблем. Перш ніж вносити зміни, поверніться до реєстру для відновлення в разі виникнення проблем із інцидентом.
Щоб вирішити цю уразливість, виконайте наведені нижче зміни реєстру, щоб обмежити розмір найбільшого пакета відповіді DNS на основі TCP, дозволеного:
Key: HKEY_LOCAL_MACHINE \system\currentcontrolset\services\dns\parameters Value = TcpReceivePacketSize Введіть = DWORD Значення даних = 0Xff00
Примітки
-
За замовчуванням (також Максимальна) значення даних = 0Xffff.
-
Якщо цей параметр реєстру вставляється або застосовується до сервера через групову політику, значення приймається, але насправді не буде встановлено значення, яке ви очікуєте. У полі значення даних не можна вводити значення 0x . Проте його можна вставити. Якщо вставити значення, ви отримуєте десяткове значення 4325120.
-
Ця методика застосовує FF00 як значення, яке має десяткове значення 65280. Це значення 255 менше за максимальне припустиме значення 65 535.
-
Щоб змінити реєстр, потрібно перезавантажити службу DNS. Щоб виконати цю дію, виконайте таку команду в командному рядку підвищеної якості:
net stop dns && net start dns
Після здійснення вирішення, DNS-сервер Windows не зможе вирішити DNS-імена для своїх клієнтів, якщо відповідь DNS із вихідного сервера перевищує 65 280 байтів.
Важливі відомості про цей спосіб вирішення
Пакети відповідей DNS на основі TCP, які перевищують рекомендоване значення, буде розірвано без помилок. Таким чином, можливо, деякі запити не відповіли на відповідь. Це може призвести до неочікуваних помилок. Сервер DNS негативно впливає на цей спосіб вирішення, лише якщо він отримує припустимі відповіді TCP, більші за попередні, ніж у попередньому пом'якшенню (понад 65 280 байт). Зменшення значення навряд чи вплине на стандартні розгортання або Рекурсивні запити. Проте в заданому середовищі може існувати нестандартне використання інциденту. Щоб визначити, чи не вплине реалізація сервера на цю проблему, слід ввімкнути діагностичне журналювання, а також записати набір зразків, який є представником типового бізнес-потоку. Після цього вам доведеться переглянути файли журналів, щоб визначити присутність anomalously великих пакетів відповіді TCP Докладні відомості наведено в статті журналювання та діагностика DNS.
Запитання й відповіді
Спосіб вирішення можна отримати на всіх версіях Windows Server, на якому запущено роль DNS.
Ми підтвердили, що цей параметр реєстру не впливає на передачу зони DNS.
Ні, обидва варіанти не потрібні. Застосування оновлення системи безпеки в системі усуває цю вразливість. Спосіб вирішення на основі реєстру надає захист системі, коли ви не можете негайно використовувати оновлення системи безпеки та не повинні вважатися заміною оновлення системи безпеки. Після застосування оновлення, спосіб вирішення більше не потрібен, і його потрібно видалити.
Спосіб вирішення сумісний із оновленням системи безпеки. Однак, після застосування оновлення, зміни в реєстрі більше не знадобляться. Практичні поради передбачають, що зміни в реєстрі видаляються, коли вони більше не потрібні, щоб запобігти потенційному подальшому впливу, що може призвести до виконання нестандартною конфігурацією.
Ми рекомендуємо всім користувачам, які працюють із DNS-серверами, щоб інсталювати оновлення системи безпеки якомога швидше. Якщо ви не можете виконати оновлення одразу, ви зможете захистити навколишнє середовище перед стандартною каденцією для інсталяції оновлень.
Ні. Параметр реєстру залежить від вхідних пакетів відповіді DNS-сервера, і не впливає на процес обробки TCP-повідомлень загалом.
