问题描述:
为修复高危漏洞,我们计划修改Windows的源路由行为设置,评估下对网络设备的影响?
即在每台Windows上运行以下两条命令:
netsh int ipv4 set global sourceroutingbehavior=drop
netsh int ipv6 set global reassemblylimit=0
其中,IPv4源路由在Windows中默认为阻止状态,且我们并未修改默认状态;IPv6我们还未在Windows计算机上应用。
参考:
***.***/update-guide/zh-cn/vulnerability/CVE-2021-24074
***.***/update-guide/zh-cn/vulnerability/CVE-2021-24094
***.***/update-guide/zh-cn/vulnerability/CVE-2021-24086
组网及组网描述:
Windows TCP/IP 远程执行代码漏洞
CVE-2021-24074
解决方法
1.将源路由行为设置为“下拉”。
使用下列命令:
netsh int ipv4 set global sourceroutingbehavior=drop
变通办法的影响
Ipv4 源路由被认为是不安全的,并且在 Windows 中默认为阻止状态;但是,系统将处理该请求并返回拒绝该请求的 ICMP 消息。变通办法将导致系统完全丢弃这些请求,而不进行任何处理。
如何撤消变通办法
还原为默认设置 “Dontforward”:
netsh int ipv4 set global sourceroutingbehavior=dontforward
2.配置防火墙或负载平衡器以禁止源路由请求
Windows TCP/IP 远程执行代码漏洞
CVE-2021-24094
&
Windows TCP/IP 拒绝服务漏洞
CVE-2021-24086
解决方法
1.将全局重汇编极限设置为 0。
以下命令禁用数据包重组。丢弃任何无序数据包。有效方案不应超过 50 个无序片段。我们建议在更新生产系统之前进行测试。
Netsh int ipv6 set global reassemblylimit=0
变通办法的影响
丢弃无序数据包时可能会丢失数据包。
如何撤消变通方法
还原为默认设置 "267748640”:
Netsh int ipv6 set global reassemblylimit=267748640
2.配置防火墙或负载平衡器以禁止 Ipv6 UDP 分段
暂无评论