Bài viết này cụ thể áp dụng cho các phiên bản Windows Server sau đây:
-
Windows Server, phiên bản 2004 (cài đặt máy chủ lõi)
-
Windows Server, phiên bản 1909 (cài đặt máy chủ lõi)
-
Windows Server, phiên bản 1903 (cài đặt máy chủ lõi)
-
Windows Server, phiên bản 1803 (cài đặt máy chủ lõi)
-
Windows Server 2019 (bản cài đặt lõi máy chủ)
-
Windows Server 2019
-
Windows Server 2016 (bản cài đặt lõi máy chủ)
-
Windows Server 2016
-
Windows Server 2012 R2 (bản cài đặt máy chủ lõi)
-
Windows Server 2012 R2
-
Windows Server 2012 (bản cài đặt lõi máy chủ)
-
Windows Server 2012
-
Windows Server 2008 R2 cho hệ thống gói dịch vụ dựa trên x64 (cài đặt máy chủ lõi)
-
Windows Server 2008 R2 cho gói dịch vụ trên nền tảng x64 1
-
Windows Server 2008 cho hệ thống gói dịch vụ dựa trên x64 2 (bản cài đặt lõi máy chủ)
-
Windows Server 2008 cho gói dịch vụ trên nền tảng x64 2
-
Windows Server 2008 cho 32-bit Systems Service Pack 2 (cài đặt lõi máy chủ)
-
Windows Server 2008 cho 32-bit Service Pack 2
Giới thiệu
Ngày 14 tháng 7, 2020, Microsoft đã phát hành bản Cập Nhật bảo mật cho sự cố được mô tả trong CPC-2020-1350 | Lỗ hổng thực thi mã từ xa của Windows DNS Server. Tư vấn này mô tả các lỗ hổng thực thi mã từ xa (RCE) quan trọng có ảnh hưởng đến máy chủ Windows được cấu hình để chạy vai trò máy chủ DNS. Chúng tôi đặc biệt đề xuất người quản trị máy chủ áp dụng bản Cập Nhật bảo mật ở thuận tiện sớm nhất của chúng.
Có thể sử dụng giải pháp thay thế dựa trên đăng ký để giúp bảo vệ máy chủ Windows bị ảnh hưởng và nó có thể được triển khai mà không cần người quản trị để khởi động lại máy chủ. Vì các biến động của lỗ hổng này, người quản trị có thể phải thực hiện giải pháp thay thế trước khi áp dụng bản Cập Nhật bảo mật để cho phép họ cập nhật các hệ thống của họ bằng cách sử dụng một mức độ triển khai chuẩn.
Cách giải quyết
Quan trọng Thực hiện theo các bước trong phần này một cách cẩn thận. Có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Trước khi bạn sửa đổi, hãy sao lưu sổ đăng ký để khôi phục trong trường hợp xảy ra.
Để làm việc xung quanh lỗ hổng này, hãy thực hiện thay đổi đăng ký sau đây để hạn chế kích cỡ của gói phản hồi DNS trên cơ sở dữ liệu trong nước lớn nhất được cho phép:
Phím: HKEY_LOCAL_MACHINE \System\currentcontrolset\services\tns\tham số Giá trị = Tcpreceivepacketsize Nhập = DWORD Dữ liệu giá trị = 0Xff00
Lưu ý́
-
Dữ liệu giá trị mặc định (cũng tối đa) = 0Xffff.
-
Nếu giá trị sổ đăng ký này được dán hoặc được áp dụng cho một máy chủ thông qua chính sách nhóm, thì giá trị được chấp nhận nhưng sẽ không thực sự được đặt là giá trị bạn mong đợi. Không thể nhập giá trị 0x vào hộp dữ liệu giá trị . Tuy nhiên, có thể dán nó. Nếu bạn dán giá trị, bạn sẽ nhận được giá trị thập phân của 4325120.
-
Giải pháp thay thế này áp dụng FF00 làm giá trị có giá trị thập phân là 65280. Giá trị này là 255 nhỏ hơn giá trị tối đa được phép 65.535.
-
Bạn phải khởi động lại dịch vụ DNS để thay đổi sổ đăng ký có hiệu lực. Để thực hiện thao tác này, hãy chạy lệnh sau đây với dấu nhắc lệnh nâng cao:
net stop dns && net start dns
Sau khi thực hiện giải pháp thay thế, máy chủ DNS Windows sẽ không thể giải quyết các tên DNS cho khách hàng của nó nếu phản hồi DNS từ máy chủ thượng lưu lớn hơn 65.280 byte.
Thông tin quan trọng về giải pháp thay thế này
Các gói phản hồi DNS dựa trên TCP vượt quá giá trị được đề xuất sẽ bị loại bỏ mà không có lỗi. Do đó, có thể là một số truy vấn có thể không được trả lời. Điều này có thể gây ra lỗi không dự đoán. Một máy chủ DNS sẽ bị ảnh hưởng tiêu cực bởi giải pháp thay thế này nếu nó nhận được phản hồi TCP hợp lệ lớn hơn được phép trong việc giảm nhẹ trước đó (hơn 65.280 byte). Giá trị giảm không thể ảnh hưởng đến các truy vấn có triển khai hoặc đệ quy chuẩn. Tuy nhiên, một trường hợp không sử dụng tiêu chuẩn có thể tồn tại trong một môi trường đã cho. Để xác định liệu việc thực hiện máy chủ sẽ bị ảnh hưởng bất lợi bởi giải pháp thay thế này, bạn nên bật ghi nhật ký chẩn đoán và chụp một tập mẫu mà là đại diện cho dòng công việc điển hình của bạn. Sau đó, bạn sẽ phải xem lại các tệp nhật ký để xác định sự hiện diện của các gói phản hồi TCP không thể lớn Để biết thêm thông tin, hãy xem ghi nhật ký và chẩn đoán DNS.
Câu hỏi thường gặp
Giải pháp thay thế sẵn dùng trên tất cả các phiên bản của Windows Server chạy vai trò DNS.
Chúng tôi đã xác nhận rằng thiết đặt sổ đăng ký này không ảnh hưởng đến việc chuyển vùng DNS.
Không có, cả hai tùy chọn không bắt buộc. Áp dụng bản Cập Nhật bảo mật cho hệ thống giải quyết lỗ hổng này. Giải pháp thay thế dựa trên đăng ký cung cấp bảo vệ cho hệ thống khi bạn không thể áp dụng bản Cập Nhật bảo mật ngay lập tức và không nên được coi là thay thế cho bản Cập Nhật bảo mật. Sau khi Cập Nhật đã được áp dụng, giải pháp thay thế không còn cần thiết và bị loại bỏ.
Giải pháp thay thế tương thích với bản Cập Nhật bảo mật. Tuy nhiên, sửa đổi sổ đăng ký sẽ không còn cần thiết sau khi Cập Nhật được áp dụng. Các biện pháp tốt nhất sẽ đọc các sửa đổi sổ đăng ký bị loại bỏ khi không còn cần thiết để ngăn không cho tác động trong tương lai tiềm tàng có thể xảy ra từ khi chạy một cấu hình không chuẩn.
Chúng tôi khuyên bạn nên tất cả những người chạy máy chủ DNS để cài đặt bản Cập Nhật bảo mật càng sớm càng tốt. Nếu bạn không thể áp dụng bản cập nhật ngay lập tức, bạn sẽ có thể bảo vệ môi trường của mình trước khi các góc chuẩn của bạn để cài đặt các bản Cập Nhật.
Không. Thiết đặt sổ đăng ký cụ thể đối với các gói phản hồi DNS trên cơ sở dữ liệu trong nước và không ảnh hưởng đến việc xử lý thư TCP của một hệ thống nói chung.
