SIGRed 补丁在 Windows Server 2008 R2 中失败

微软发布了针对Windows Server 2008至2019的SIGred安全补丁。所有安装了DNS角色的Windows服务器都会受到影响。有仅安全更新和每月汇总更新。就看你喜欢安装哪一个了。安装其中一项更新并重新启动后，SIGRed 修补程序在 Windows Server 2008 R2 中失败。错误显示：配置 Windows 更新失败。恢复更改。不要关闭计算机。 为什么会发生这种情况？解决方案是什么？

SIGRed Windows DNS 服务器远程代码执行漏洞

CVE-2020-1350 | Windows DNS 服务器远程代码执行漏洞由 Check Point 发现。 Microsoft 在“通用漏洞评分系统”(CVSS) 中将该漏洞评为最高风险级别 10.0。

检查点：

Check Point 研究人员最近发现了一个严重漏洞，攻击者可以利用该漏洞在 Windows DNS 服务器（任何 Windows 网络环境的重要组件）中执行此操作。我们向 Microsoft 报告了该漏洞，Microsoft 承认这是一个严重漏洞（CVSS 评分 10.0 - 表示可能的最高严重程度），并为其发布了紧急补丁。我们强烈建议用户在 2003 年至 2019 年受影响的 Windows DNS Server 版本上应用该补丁，以防止该漏洞被利用。

微软：

当 Windows 域名系统服务器无法正确处理请求时，它们中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地系统帐户的上下文中运行任意代码。配置为 DNS 服务器的 Windows 服务器面临此漏洞的风险。为了利用此漏洞，未经身份验证的攻击者可以向 Windows DNS 服务器发送恶意请求。该更新通过修改 Windows DNS 服务器处理请求的方式来解决该漏洞。

SIGRed 披露时间表

• 2020 年 5 月 19 日 - 向 Microsoft 提交的初步报告。

• 2020 年 6 月 18 日 - Microsoft 针对此漏洞发布了 CVE-2020-1350。

• 2020 年 7 月 9 日 - Microsoft 承认此问题是一个可蠕虫的严重漏洞，CVSS 评分为 10.0。

• 2020 年 7 月 14 日 - Microsoft 发布了修复程序（星期二补丁）。

SIGRed Microsoft 补丁无法在 Windows Server 2008 R2 中安装

您无法在 Server 2008 R2 上安装 KB4565524 或 KB4565539，它失败了。起初，它看起来很棒，因为它正在安装更新。更新后，您必须重新启动。重新启动服务器后，将显示以下错误：配置 Windows 更新失败。恢复更改。不要关闭您的电脑。 Windows Server 2008 R2 未安装更新，失败。

为什么SIGRed补丁在Windows Server 2008 R2中安装失败？

解决方案 KB4565524 和 KB4565539 更新失败

您缺少扩展器安全更新 (ESU) 许可证。如果不购买，微软的SIGRed补丁更新时会失败。

单击以下页面并转到先决条件部分：

2020 年 7 月 14 日 - KB4565524（每月汇总）
2020 年 7 月 14 日 - KB4565539（仅安全更新）

安装此更新之前，先决条件是：

在安装最新的汇总之前，您必须安装下面列出的更新并重新启动您的设备。安装这些更新可以提高更新过程的可靠性，并减少安装汇总和应用 Microsoft 安全修复程序时的潜在问题。

1. 2019 年 3 月 12 日服务堆栈更新 (SSU) (KB4490628)。要获取此 SSU 的独立包，请在 Microsoft 更新目录中搜索它。安装仅经过 SHA-2 签名的更新需要此更新。

2. 最新的 SHA-2 更新 (KB4474419) 于 2019 年 9 月 10 日发布。如果您使用 Windows Update，将自动向您提供最新的 SHA-2 更新。安装仅经过 SHA-2 签名的更新需要此更新。有关 SHA-2 更新的详细信息，请参阅 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求。

3. 2020 年 6 月 9 日 SSU (KB4562030) 或更高版本。要获取此 SSU 的独立包，请在 Microsoft 更新目录中搜索它。

4. 扩展安全更新 (ESU) 许可准备包 (KB4538483) 于 2020 年 2 月 11 日发布。WSUS 将为您提供 ESU 许可准备包。要获取 ESU 许可准备包的独立包，请在 Microsoft 更新目录中搜索它。

现在我建议您将所有计算机更新到Windows Server 2016或Windows Server 2019。同时修补DNS漏洞，看看下一步。

使用注册表修补 DNS 漏洞

要解决此漏洞，请进行以下注册表更改以限制允许的最大入站基于 TCP 的 DNS 响应数据包的大小。

使用组策略管理修补 Windows Server DNS 漏洞

使用以下注册表项在组策略管理中创建 GPO。将 GPO 链接到已安装 DNS 角色的 Windows Server 2008 R2。

子键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 

值：TcpReceivePacketSize

类型：DWORD

值数据：0xFF00

以管理员身份运行命令提示符并重新启动 DNS 服务：net stop DNS && net start DNS

使用命令提示符修补 Windows Server DNS 漏洞

如果您只有几个安装了 DNS 角色的 Windows Server 2008 R2，则可以手动添加注册表项。要加快速度，请使用命令提示符。

以管理员身份运行命令提示符。使用 reg-add 命令。

C:\>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f

C:\>net stop DNS && net start DNS

使用 PowerShell 修补 Windows Server DNS 漏洞

以管理员身份运行 PowerShell。运行以下三个命令。

PS C:\> $null = New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\DNS\Parameters -Force

PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\DNS\parameters -Name "TcpReceivePacketSize" -PropertyType DWord -Value 0xFF00 -Force


TcpReceivePacketSize : 65280
PSPath               : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\par
                       ameters
PSParentPath         : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS
PSChildName          : parameters
PSDrive              : HKLM
PSProvider           : Microsoft.PowerShell.Core\Registry

PS C:\> Restart-Service DNS

Windows Server 2008 R2 现已受到漏洞 CVE-2020-1350 的保护。请记住，您仍然无法更新到新的安全更新和每月汇总更新。

了解更多：删除 Windows Server 中的 Let’s Encrypt 证书 »

结论

在本文中，您了解了 SIGRed 修补程序在 Windows Server 2008 R2 中失败的原因。确保在 Windows Server 2008 R2 中安装了先决条件。在安装本文中提到的更新之一之前执行此操作。如果您打算升级到较新的 Windows Server 并且不打算购买 ESU，请在 Windows Server 2008 R2 中创建一个注册表项来修补该漏洞。

我建议您将 Windows Servers 2008 R2 升级到 Windows Server 2016/2019。之后，停用所有 Windows Server 2008 R2 系统。

您喜欢这篇文章吗？如果是这样，您可能会喜欢使用 PowerShell 禁用 Windows 防火墙。不要忘记关注我们并分享这篇文章。