Vue d’ensemble des problèmes qui peuvent se produire lorsque des partages d’administration sont manquants

  • Article

Cet article fournit une résolution des problèmes qui peuvent se produire lorsque des partages d’administration sont manquants.

S’applique à : Windows Server 2012 R2, Windows 10 (toutes les éditions)
Numéro de la base de connaissances d’origine : 842715

Résumé

Cet article décrit les symptômes qui peuvent se produire lorsqu’un ou plusieurs partages d’administration masqués sont manquants sur votre ordinateur. L’article fournit également des informations sur la façon de résoudre ce problème.

Si vous avez déjà déterminé qu’il manque un ou plusieurs partages d’administration masqués sur votre ordinateur, consultez les sections « Cause » et « Résolution ». Sachez que les partages administratifs manquants indiquent généralement que l’ordinateur en question a été compromis par des logiciels malveillants. Nous recommandons aux utilisateurs de mettre en forme et de réinstaller Windows sur des serveurs compromis.

Symptômes

Vous pouvez rencontrer divers problèmes lorsque des partages d’administration sont supprimés ou sont manquants de votre ordinateur.

Si vous utilisez la commande net share ou MPSReports, la sortie peut indiquer que le partage IPC$, ADMIN$ou C$ est manquant sur votre ordinateur. Si vous recréez un partage manquant, il se peut qu’il le soit à nouveau après le prochain démarrage ou ouverture de session. Ce problème peut se produire même si vous définissez les valeurs DWORD de Registre AutoShareServer et AutoShareWks sur 1.

Vous pouvez trouver des processus inconnus qui démarrent à partir du dossier Démarrage ou de la clé d’exécution dans le Registre. Les logiciels antivirus peuvent détecter les virus, les vers, les chevaux de Troie ou les portes dérobées. Ou la racine FTP sur un serveur Web peut être remplie de fichiers inconnus.

La liste suivante est une liste complète des comportements problématiques qui peuvent être associés à ce problème.

  • Si l’ordinateur affecté est un contrôleur de domaine, vous pouvez recevoir des messages d’erreur sur les ordinateurs clients pendant l’ouverture de session réseau ou au moment où ils tentent de rejoindre le domaine. Parfois, vous pouvez vous connecter avec des ordinateurs clients, mais vous pouvez recevoir un message d’erreur similaire à l’un des suivants :

    • Le mot de passe de domaine que vous avez fourni n’est pas correct ou l’accès à votre serveur d’ouverture de session a été refusé.

    • Le serveur d’ouverture de session n’a pas reconnu votre mot de passe de domaine ou l’accès au serveur a été refusé.

    • Aucun serveur d’ouverture de session n’est disponible pour traiter la demande d’ouverture de session.

      Lorsque vous essayez de joindre le domaine, vous pouvez recevoir un message d’erreur semblable à ce qui suit :

      L’erreur suivante s’est produite lors de la tentative de jointure du domaine « Domain_Name » : le nom réseau est introuvable.

  • Lorsque vous essayez d’accéder ou d’afficher l’ordinateur affecté à distance à l’aide d’un chemin UNC, d’un lecteur mappé, de la commande net use, de la commande net view, ou en parcourant le réseau dans Quartier réseau ou Mon réseau Places, vous pouvez recevoir un message d’erreur similaire à l’un des suivants :

    • Le serveur n’est pas configuré pour les transactions.

    • L’erreur système 53 s’est produite. Le chemin réseau n’a pas été trouvé.

    • Domain_Name n’est pas accessible.

  • Vous pouvez recevoir des erreurs lorsque vous essayez d’effectuer des tâches d’administration sur un contrôleur de domaine. Par exemple, les composants logiciels enfichables MMC tels que Utilisateurs et ordinateurs Active Directory ou sites et services Active Directory peuvent ne pas démarrer, et vous pouvez recevoir un message d’erreur similaire au suivant :

    Impossible de trouver les informations d’affectation de noms, car la tentative de connexion a échoué.

  • Lorsque vous essayez d’ajouter un utilisateur à un groupe de sécurité, vous pouvez recevoir un message d’erreur similaire à ce qui suit :

    Le sélecteur d’objets ne peut pas s’ouvrir, car aucun emplacement à partir duquel choisir des objets n’est disponible.

  • Lorsque vous essayez d’exécuter Netdom.exe pour rechercher les rôles FSMO, vous pouvez recevoir un message d’erreur similaire au suivant :

    Impossible de mettre à jour le mot de passe. La valeur fournie comme mot de passe actuel est incorrecte.

  • Lorsque vous essayez d’exécuter Dcdiag.exe, vous pouvez recevoir un message d’erreur similaire au suivant :

    Échec avec 67 : le nom réseau est introuvable

    Les résultats de Dcdiag.exe peuvent également répertorier les erreurs de liaison LDAP similaires à la suivante :

    Échec de la liaison LDAP avec l’erreur 1323.

  • Lorsque vous essayez d’exécuter Netdiag.exe, vous pouvez recevoir un message d’erreur semblable à ce qui suit :

    DC list test. . . . . . . . . . . : Failed
    Échec de l’énumération des contrôleurs de domaine à l’aide du navigateur. [NERR_BadTransactConfig]

  • Si vous exécutez une trace réseau lorsque vous essayez de vous connecter à l’ordinateur affecté, vous pouvez voir des résultats similaires à ceux-ci :

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
R session setup & X - DOS Error, (67) BAD_NET_NAME

  • Sur le serveur, le service WINS peut ne pas démarrer ou la console WINS peut afficher un X rouge, ou les deux.

  • Les événements NetBT 4311 similaires aux suivants peuvent être enregistrés observateur d'événements :

    ID d’événement : 4311
    Source de l’événement : NetBT
    Type d'événement : Erreur
    Description : L’initialisation a échoué, car le périphérique de pilote n’a pas pu être créé

  • La console de gestion des licences des services Terminal Server peut ne pas démarrer et vous pouvez recevoir un message d’erreur semblable à ce qui suit :

    • Aucun serveur de licences Des services Terminal Server n’est disponible dans le domaine ou le groupe de travail actuel. Pour vous connecter à un autre serveur de licences, cliquez sur Licence, sur Se connecter, puis sur le nom du serveur.

    • L’adresse réseau n’est pas valide

Cause

Ces problèmes peuvent se produire après qu’un programme malveillant a supprimé les partages d’administration sur un ordinateur qui exécute Windows Server.

Souvent, des utilisateurs malveillants se connectent à ces partages d’administration en tirant parti des mots de passe faibles, des mises à jour de sécurité manquantes, de l’exposition directe de l’ordinateur à Internet ou d’une combinaison de ces facteurs. Les utilisateurs malveillants installent ensuite des programmes malveillants pour étendre leur influence sur l’ordinateur et sur le reste du réseau informatique. Dans de nombreux cas, ces programmes malveillants suppriment les partages administratifs en guise de mesure défensive pour empêcher d’autres utilisateurs malveillants concurrents de prendre le contrôle des systèmes infectés.

L’infection par l’un de ces programmes malveillants peut provenir directement d’Internet ou d’un autre ordinateur sur le réseau local qui est infecté. Cela indique généralement que la sécurité sur le réseau est faible. Par conséquent, si vous voyez ces symptômes, nous vous recommandons d’examiner tous les autres ordinateurs du réseau à la recherche de programmes malveillants à l’aide d’un logiciel antivirus et d’outils de détection de logiciels espions. Nous vous recommandons également d’effectuer une analyse de sécurité pour identifier les vulnérabilités sur le réseau. Consultez la section « Résolution » pour plus d’informations sur la détection des programmes malveillants et l’analyse de la sécurité réseau.

Le programme est un exemple de programme malveillant ciblant des partages administratifs Win32.Agobot .

Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.

Remarque

Le Win32.Agobot programme n’est qu’un exemple. Les programmes malveillants deviennent obsolètes à mesure que les fournisseurs d’antivirus les découvrent et les ajoutent à leurs définitions de virus. Toutefois, les utilisateurs malveillants développent fréquemment de nouveaux programmes et variantes pour éviter la détection par les logiciels antivirus.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour vérifier si un ordinateur est affecté par ce problème, procédez comme suit :

  1. Examinez les valeurs de Registre AutoShareServer et AutoShareWks pour vous assurer qu’elles ne sont pas définies sur 0 :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis appuyez sur Entrée.
    2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Si les valeurs DWORD AutoShareServer et AutoShareWks dans la sous-clé LanmanServer\Parameters sont configurées avec une valeur de 0, remplacez cette valeur par 1.

      Remarque

      Si ces valeurs n’existent pas, vous n’avez pas besoin de les créer, car le comportement par défaut consiste à créer automatiquement les partages d’administration.

    4. Quittez l’Éditeur du Registre.

  2. Redémarrez l'ordinateur. En règle générale, les ordinateurs exécutant Windows Server créent automatiquement les partages d’administration au démarrage.

  3. Après le redémarrage de l’ordinateur, vérifiez que les partages d’administration sont actifs. Pour examiner les partages, utilisez la commande net share. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis appuyez sur Entrée.

    2. À l’invite de commandes, tapez net share, puis appuyez sur Entrée.

    3. Recherchez les actions administratives Administration$, C$et IPC$ dans la liste des actions.

Si les partages d’administration ne sont pas répertoriés, l’ordinateur peut exécuter un programme malveillant qui supprime les partages au démarrage. Pour rechercher des programmes malveillants, procédez comme suit :

  1. Utilisez les dernières définitions de virus pour exécuter une analyse antivirus complète sur l’ordinateur. Vous pouvez utiliser votre logiciel antivirus ou utiliser l’un des nombreux services d’analyse antivirus gratuits disponibles sur Internet. Consultez la section « Plus d’informations » pour obtenir des liens vers des mises à jour de définition de virus et des analyses en ligne gratuites des fournisseurs de logiciels antivirus.

    Importante

    Si vous pensez qu’un ordinateur est infecté par du code malveillant, nous vous recommandons de le supprimer du réseau dès que possible. Nous vous recommandons de procéder ainsi, car un utilisateur malveillant peut utiliser l’ordinateur infecté pour démarrer des attaques par déni de service distribué (DDoS), envoyer des e-mails commerciaux non sollicités ou partager des copies illégales de logiciels, de musique et de films.

  2. Si l’analyse antivirus identifie un programme malveillant sur le système, suivez les instructions de suppression du fournisseur de l’antivirus. En outre, passez en revue l’évaluation des menaces et les détails techniques sur le programme sur le site Web de votre fournisseur d’antivirus. En particulier, case activée pour voir si le programme inclut la fonctionnalité de porte dérobée. La fonctionnalité de porte dérobée signifie que le programme permet à l’utilisateur malveillant de reprendre le contrôle du système si le programme est découvert et supprimé.

    Si les détails techniques du programme indiquent qu’il dispose d’une fonctionnalité de porte dérobée, nous vous recommandons de formater le disque dur de l’ordinateur et de réinstaller Windows en toute sécurité. Pour plus d’informations sur l’amélioration de la sécurité des ordinateurs et des serveurs Windows, visitez le Centre d’aide sur la sécurité Microsoft suivant

  3. Si l’analyse antivirus n’identifie pas un programme malveillant sur le système, cela ne signifie pas que l’ordinateur n’est pas infecté par un programme malveillant. Plus probablement, cela peut signifier que le programme malveillant est un nouveau programme ou variante, et que les dernières définitions de virus ne le détectent pas. Dans ce cas, contactez le fournisseur de l’antivirus pour signaler le problème, ou ouvrez un incident de support auprès des services de support technique Microsoft (PSS) pour l’examiner.

  4. Une fois l’analyse antivirus terminée, examinez l’ordinateur à la recherche d’autres programmes malveillants, tels que des logiciels espions ou des outils utilisateur malveillants. Consultez la section « Plus d’informations » pour obtenir des liens vers des logiciels espions et des outils de détection d’utilisateurs malveillants.

  5. Microsoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés tierces.