Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution à un problème où vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block), même lorsque la ressource partagée est activée dans le serveur Windows Server cible.
Numéro de base de connaissances d’origine : 4471134
Symptômes
Vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block) même lorsque la ressource partagée est activée sur le serveur Windows Server cible. Lorsque vous exécutez la commande netstat pour afficher les connexions réseau, les résultats indiquent que le port TCP 445 écoute. Toutefois, les traces réseau montrent que la communication sur le port TCP 445 échoue comme suit :
| Source | Destination | Protocole | Description |
|---|---|---|---|
| Client | SERVER | TCP | TCP :Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192 |
| Client | SERVER | TCP | TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192 |
| Client | SERVER | TCP | TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Négociation du facteur d’échelle 0x8) = 8192 |
Après avoir activé l’audit des événements de modification de stratégie de plateforme de filtrage à l’aide de la commande suivante, vous pouvez rencontrer certains événements (tels que l’ID d’événement 5152) qui indiquent le blocage.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Exemple d’ID d’événement 5152 :
| Journal des événements | Source de l'événement | ID événement | Texte du message |
|---|---|---|---|
| Sécurité | Microsoft-Windows-Security-Auditing | 5152 | Description : La plateforme de filtrage Windows a bloqué un paquet. Informations sur l’application : ID de processus : 0 Nom de l’application : - Informations réseau : Direction : entrant Adresse source : 192.168.88.50 Port source : 52017 Adresse de destination : 192.168.88.53 Port de destination : 445 Protocole : 6Filter Information : ID d’exécution du filtre : 67017 Nom de la couche : Transport ID d’exécution de couche : 12 |
Cause
Ce problème se produit parce que le programme malveillant Adylkuzz qui tire parti de la même vulnérabilité SMBv1 que Wannacrypt ajoute une stratégie IPSec nommée NETBC qui bloque le trafic entrant sur le serveur SMB utilisant le port TCP 445. Certains outils adylkuzz-cleanup peuvent supprimer les programmes malveillants, mais ne parviennent pas à supprimer la stratégie IPSec. Pour plus d’informations, consultez Win32/Adylkuzz.B.
Résolution
Pour résoudre ce problème, effectuez les étapes suivantes :
Installez la version MS17-010 de la mise à jour de sécurité appropriée pour le système d’exploitation.
Suivez les étapes de l’onglet « Que faire maintenant » de Win32/Adylkuzz.B.
Exécutez une analyse à l’aide du scanneur de sécurité Microsoft.
Vérifiez si la stratégie IPSec bloque le port TCP 445 à l’aide des commandes suivantes (et consultez les résultats cités pour obtenir des exemples).
netsh ipsec static show policy allPolicy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutesnetsh ipsec static show filterlist all level=verboseFilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445Note
Lorsque vous exécutez les commandes sur un serveur non infecté, il n’existe aucune stratégie.
Si la stratégie IPSec existe, supprimez-la à l’aide de l’une des méthodes suivantes.
Exécutez la commande suivante :
netsh ipsec static delete policy name=netbcUtiliser l’Éditeur de stratégie de groupe (GPEdit.msc) :
Éditeur de stratégie de groupe local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Sécurité IPSec
Plus d’informations
Depuis octobre 2016, Microsoft utilise un nouveau modèle de maintenance pour les versions prises en charge des mises à jour de Windows Server. Ce nouveau modèle de maintenance pour la distribution des mises à jour simplifie la façon dont les problèmes de sécurité et de fiabilité sont résolus. Microsoft recommande de maintenir vos systèmes à jour pour s’assurer qu’ils sont protégés et que les derniers correctifs sont appliqués.
Cette menace peut exécuter les commandes suivantes :
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Il peut également ajouter des règles de pare-feu pour autoriser les connexions à l’aide de ces commandes :
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow