Condividi tramite


La condivisione SMB non è accessibile quando la porta TCP 445 è in ascolto in Windows Server

Questo articolo fornisce una soluzione a un problema per cui non è possibile accedere a una risorsa condivisa SMB (Server Message Block) anche quando la risorsa condivisa è abilitata in Windows Server di destinazione.

Numero KB originale: 4471134

Sintomi

Non è possibile accedere a una risorsa condivisa SMB (Server Message Block) anche quando la risorsa condivisa è abilitata in Windows Server di destinazione. Quando si esegue il comando netstat per visualizzare le connessioni di rete, i risultati mostrano che la porta TCP 445 è in ascolto. Tuttavia, le tracce di rete mostrano che la comunicazione sulla porta TCP 445 ha esito negativo come indicato di seguito:

Source (Sorgente) Destination Protocollo Descrizione
Client SERVER TCP TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192
Client SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192
Client SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192

Dopo aver abilitato il controllo degli eventi filtering platform policy change usando il comando seguente, è possibile che si verifichino alcuni eventi (ad esempio l'ID evento 5152) che indicano il blocco.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Esempio di ID evento 5152:

Log eventi Origine evento ID evento Testo del messaggio
Sicurezza Microsoft-Windows-Security-Auditing 5152 Descrizione:
Windows Filtering Platform ha bloccato un pacchetto.

Informazioni sull'applicazione:
ID processo: 0
Nome applicazione: -
Informazioni di rete:
Direzione: in ingresso
Indirizzo di origine: 192.168.88.50
Porta di origine: 52017
Indirizzo di destinazione: 192.168.88.53
Porta di destinazione: 445
Protocollo: Informazioni sul filtro 6:
Filtrare l'ID di runtime: 67017
Nome livello: Trasporto
ID runtime livello: 12

Causa

Questo problema si verifica perché il malware Adylkuzz che sfrutta la stessa vulnerabilità SMBv1 di Wannacrypt aggiunge un criterio IPSec denominato NETBC che blocca il traffico in ingresso sul server SMB che usa la porta TCP 445. Alcuni strumenti Adylkuzz-cleanup possono rimuovere il malware, ma non eliminare il criterio IPSec. Per informazioni dettagliate, vedere Win32/Adylkuzz.B.

Risoluzione

Per risolvere il problema, seguire questa procedura:

  1. Installare l'aggiornamento della sicurezza MS17-010 appropriato per il sistema operativo.

  2. Seguire i passaggi nella scheda "Cosa fare ora" di Win32/Adylkuzz.B.

  3. Eseguire un'analisi usando Microsoft Security Scanner.

  4. Controllare se i criteri IPSec bloccano la porta TCP 445 usando i comandi seguenti (e vedere i risultati citati per esempi).

    netsh ipsec static show policy all
    
    Policy Name: netbc  
    Description: NONE  
    Last Modified: <DateTime>  
    Assigned: YES  
    Master PFS: NO  
    Polling Interval: 180 minutes
    
    netsh ipsec static show filterlist all level=verbose
    
    FilterList Name: block  
    Description: NONE  
    Store: Local Store <WIN>  
    Last Modified: <DateTime>  
    GUID: {ID}  
    No. of Filters: 1  
    Filter(s)  
    ---------  
    Description: 445  
    Mirrored: YES  
    Source IP Address: <IP Address>  
    Source Mask: 0.0.0.0  
    Source DNS Name: <IP Address>  
    Destination IP Address: <IP Address>  
    Destination DNS Name: <IP Address>  
    Protocol: TCP  
    Source Port: ANY  
    Destination Port : 445  
    

    Note

    Quando si eseguono i comandi in un server non interessato, non sono presenti criteri.

  5. Se il criterio IPSec esiste, eliminarlo usando uno dei metodi seguenti.

    • Esegui questo comando:

      netsh ipsec static delete policy name=netbc
      
    • Usa Editor Criteri di gruppo (GPEdit.msc):

      Editor Criteri di gruppo locali/Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Sicurezza IPSec

Ulteriori informazioni

A partire da ottobre 2016, Microsoft usa un nuovo modello di manutenzione per le versioni supportate degli aggiornamenti di Windows Server. Questo nuovo modello di manutenzione per la distribuzione degli aggiornamenti semplifica la risoluzione dei problemi di sicurezza e affidabilità. Microsoft consiglia di mantenere aggiornati i sistemi per assicurarsi che siano protetti e applicare le correzioni più recenti.

Questa minaccia può eseguire i comandi seguenti:

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

Può anche aggiungere regole del firewall per consentire le connessioni usando questi comandi:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow