微软披露Windows TCP/IP高危漏洞，无需交互及身份验证即可远程触发

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本（如Windows 7、Windows Server 2008、Windows Server 2008 R2），可参考以下链接下载适用于该系统的12月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb

如果无法立即安装更新，可参考以下步骤缓解漏洞：

CVE-2021-24074：

1、可通过以下命令（管理员权限）将sourceroutingbehavior 设置为

"drop"：

netsh int ipv4 set global sourceroutingbehavior=drop

如需恢复默认设置，可使用以下命令：

netsh int ipv4 set global sourceroutingbehavior=dontforward

2、配置防火墙或负载平衡器以禁止源路由请求

CVE-2021-24094、CVE-2021-24086：

1、可通过以下命令（管理员权限）将global reassemblylimit 设置为0：

以下命令将禁用数据包重组，乱序数据包将会被丢弃。建议在充分测试之后更新生产系统！

Netsh int ipv6 set global reassemblylimit=0

如需恢复默认设置，可使用以下命令：

Netsh int ipv6 set global reassemblylimit=267748640

2、配置防火墙或负载平衡器以禁止IPv6 UDP分片