Freigeben über


Auf die SMB-Freigabe kann nicht zugegriffen werden, wenn TCP-Port 445 in Windows Server überwacht wird

Dieser Artikel bietet eine Lösung für ein Problem, bei dem Sie nicht auf eine gemeinsam genutzte Servernachrichtblock-Ressource (Server Message Block, SMB) zugreifen können, auch wenn die freigegebene Ressource im Windows Server-Ziel aktiviert ist.

Ursprüngliche KB-Nummer: 4471134

Symptome

Sie können nicht auf eine freigegebene Servernachrichtblock-Ressource (SMB) zugreifen, auch wenn die freigegebene Ressource auf dem Windows Server-Ziel aktiviert ist. Wenn Sie den Netstat-Befehl ausführen, um die Netzwerkverbindungen anzuzeigen, zeigen die Ergebnisse, dass TCP-Port 445 überwacht wird. Netzwerkablaufverfolgungen zeigen jedoch, dass die Kommunikation mit TCP-Port 445 wie folgt fehlschlägt:

Quelle Ziel Protokoll Beschreibung
Client SERVER TCP TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Verhandlungsmaßstabfaktor 0x8) = 8192
Client SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Verhandlungsmaßstabfaktor 0x8) = 8192
Client SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Verhandlungsmaßstabfaktor 0x8) = 8192

Nachdem Sie die Überwachung von Änderungsereignissen für Filterplattformrichtlinien mithilfe des folgenden Befehls aktiviert haben, können einige Ereignisse (z. B. Ereignis-ID 5152) auftreten, die auf das Blockieren hinweisen.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Beispiel für ereignis-ID 5152:

Ereignisprotokoll Ereignisquelle Ereignis-ID Meldungstext
Sicherheit Microsoft-Windows-Security-Auditing 5152 Beschreibung:
Die Windows-Filterplattform hat ein Paket blockiert.

Anwendungsinformation:
Prozess-ID: 0
Anwendungsname: -
Netzwerkinformationen:
Richtung: Eingehend
Quelladresse: 192.168.88.50
Quellport: 52017
Zieladresse: 192.168.88.53
Zielport: 445
Protokoll: 6Filter-Informationen:
Filter-Laufzeit-ID: 67017
Layername: Transport
Layer-Laufzeit-ID: 12

Ursache

Dieses Problem tritt auf, da die Adylkuzz-Schadsoftware, die dieselbe SMBv1-Sicherheitsanfälligkeit nutzt, wie Wannacrypt eine IPSec-Richtlinie hinzufügt, die den namen NETBC trägt, der eingehenden Datenverkehr auf dem SMB-Server blockiert, der TCP-Port 445 verwendet. Einige Adylkuzz-Bereinigungstools können die Schadsoftware entfernen, aber die IPSec-Richtlinie nicht löschen. Weitere Informationen finden Sie unter Win32/Adylkuzz.B.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Installieren Sie das Sicherheitsupdate MS17-010 , das für das Betriebssystem geeignet ist.

  2. Führen Sie die Schritte auf der Registerkarte "Was jetzt tun" von Win32/Adylkuzz.B aus.

  3. Führen Sie einen Scan mithilfe des Microsoft Security Scanners aus.

  4. Überprüfen Sie, ob die IPSec-Richtlinie den TCP-Port 445 mithilfe der folgenden Befehle blockiert (und die zitierten Ergebnisse finden Sie beispiele).

    netsh ipsec static show policy all
    
    Policy Name: netbc  
    Description: NONE  
    Last Modified: <DateTime>  
    Assigned: YES  
    Master PFS: NO  
    Polling Interval: 180 minutes
    
    netsh ipsec static show filterlist all level=verbose
    
    FilterList Name: block  
    Description: NONE  
    Store: Local Store <WIN>  
    Last Modified: <DateTime>  
    GUID: {ID}  
    No. of Filters: 1  
    Filter(s)  
    ---------  
    Description: 445  
    Mirrored: YES  
    Source IP Address: <IP Address>  
    Source Mask: 0.0.0.0  
    Source DNS Name: <IP Address>  
    Destination IP Address: <IP Address>  
    Destination DNS Name: <IP Address>  
    Protocol: TCP  
    Source Port: ANY  
    Destination Port : 445  
    

    Notiz

    Wenn Sie die Befehle auf einem nicht infizierten Server ausführen, gibt es keine Richtlinie.

  5. Wenn die IPSec-Richtlinie vorhanden ist, löschen Sie sie mithilfe einer der folgenden Methoden.

    • Führen Sie den folgenden Befehl aus:

      netsh ipsec static delete policy name=netbc
      
    • Verwenden Sie den Gruppenrichtlinien-Editor (GPEdit.msc):

      Editor für lokale Gruppenrichtlinien/Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/IPSec-Sicherheit

Weitere Informationen

Seit Oktober 2016 verwendet Microsoft ein neues Wartungsmodell für die unterstützten Versionen von Windows Server-Updates. Dieses neue Wartungsmodell für die Verteilung von Updates vereinfacht die Art und Weise, wie Sicherheits- und Zuverlässigkeitsprobleme behoben werden. Microsoft empfiehlt, Ihre Systeme auf dem neuesten Stand zu halten, um sicherzustellen, dass sie geschützt sind und die neuesten Fixes angewendet werden.

Diese Bedrohung kann die folgenden Befehle ausführen:

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

Sie kann auch Firewallregeln hinzufügen, um Verbindungen mithilfe der folgenden Befehle zuzulassen:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow