Partager via


Le partage SMB n’est pas accessible lorsque le port TCP 445 écoute dans Windows Server

Cet article fournit une solution à un problème où vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block), même lorsque la ressource partagée est activée dans le serveur Windows Server cible.

Numéro de base de connaissances d’origine : 4471134

Symptômes

Vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block) même lorsque la ressource partagée est activée sur le serveur Windows Server cible. Lorsque vous exécutez la commande netstat pour afficher les connexions réseau, les résultats indiquent que le port TCP 445 écoute. Toutefois, les traces réseau montrent que la communication sur le port TCP 445 échoue comme suit :

Source Destination Protocole Description
Client SERVER TCP TCP :Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192
Client SERVER TCP TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192
Client SERVER TCP TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192

Après avoir activé l’audit des événements de modification de stratégie de plateforme de filtrage à l’aide de la commande suivante, vous pouvez rencontrer certains événements (tels que l’ID d’événement 5152) qui indiquent le blocage.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Exemple d’ID d’événement 5152 :

Journal des événements Source de l'événement ID événement Texte du message
Sécurité Microsoft-Windows-Security-Auditing 5152 Description :
La plateforme de filtrage Windows a bloqué un paquet.

Informations sur l’application :
ID de processus : 0
Nom de l’application : -
Informations réseau :
Direction : entrant
Adresse source : 192.168.88.50
Port source : 52017
Adresse de destination : 192.168.88.53
Port de destination : 445
Protocole : 6Filter Information :
ID d’exécution du filtre : 67017
Nom de la couche : Transport
ID d’exécution de couche : 12

Cause

Ce problème se produit parce que le programme malveillant Adylkuzz qui tire parti de la même vulnérabilité SMBv1 que Wannacrypt ajoute une stratégie IPSec nommée NETBC qui bloque le trafic entrant sur le serveur SMB utilisant le port TCP 445. Certains outils adylkuzz-cleanup peuvent supprimer les programmes malveillants, mais ne parviennent pas à supprimer la stratégie IPSec. Pour plus d’informations, consultez Win32/Adylkuzz.B.

Résolution

Pour résoudre ce problème, effectuez les étapes suivantes :

  1. Installez la version MS17-010 de la mise à jour de sécurité appropriée pour le système d’exploitation.

  2. Suivez les étapes de l’onglet « Que faire maintenant » de Win32/Adylkuzz.B.

  3. Exécutez une analyse à l’aide du scanneur de sécurité Microsoft.

  4. Vérifiez si la stratégie IPSec bloque le port TCP 445 à l’aide des commandes suivantes (et consultez les résultats cités pour obtenir des exemples).

    netsh ipsec static show policy all
    
    Policy Name: netbc  
    Description: NONE  
    Last Modified: <DateTime>  
    Assigned: YES  
    Master PFS: NO  
    Polling Interval: 180 minutes
    
    netsh ipsec static show filterlist all level=verbose
    
    FilterList Name: block  
    Description: NONE  
    Store: Local Store <WIN>  
    Last Modified: <DateTime>  
    GUID: {ID}  
    No. of Filters: 1  
    Filter(s)  
    ---------  
    Description: 445  
    Mirrored: YES  
    Source IP Address: <IP Address>  
    Source Mask: 0.0.0.0  
    Source DNS Name: <IP Address>  
    Destination IP Address: <IP Address>  
    Destination DNS Name: <IP Address>  
    Protocol: TCP  
    Source Port: ANY  
    Destination Port : 445  
    

    Note

    Lorsque vous exécutez les commandes sur un serveur non infecté, il n’existe aucune stratégie.

  5. Si la stratégie IPSec existe, supprimez-la à l’aide de l’une des méthodes suivantes.

    • Exécutez la commande suivante :

      netsh ipsec static delete policy name=netbc
      
    • Utiliser l’Éditeur de stratégie de groupe (GPEdit.msc) :

      Éditeur de stratégie de groupe local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Sécurité IPSec

Plus d’informations

Depuis octobre 2016, Microsoft utilise un nouveau modèle de maintenance pour les versions prises en charge des mises à jour de Windows Server. Ce nouveau modèle de maintenance pour la distribution des mises à jour simplifie la façon dont les problèmes de sécurité et de fiabilité sont résolus. Microsoft recommande de maintenir vos systèmes à jour pour s’assurer qu’ils sont protégés et que les derniers correctifs sont appliqués.

Cette menace peut exécuter les commandes suivantes :

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

Il peut également ajouter des règles de pare-feu pour autoriser les connexions à l’aide de ces commandes :

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow