Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una soluzione a un problema per cui non è possibile accedere a una risorsa condivisa SMB (Server Message Block) anche quando la risorsa condivisa è abilitata in Windows Server di destinazione.
Numero KB originale: 4471134
Sintomi
Non è possibile accedere a una risorsa condivisa SMB (Server Message Block) anche quando la risorsa condivisa è abilitata in Windows Server di destinazione. Quando si esegue il comando netstat per visualizzare le connessioni di rete, i risultati mostrano che la porta TCP 445 è in ascolto. Tuttavia, le tracce di rete mostrano che la comunicazione sulla porta TCP 445 ha esito negativo come indicato di seguito:
Source (Sorgente) | Destination | Protocollo | Descrizione |
---|---|---|---|
Client | SERVER | TCP | TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192 |
Client | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192 |
Client | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fattore di scala negoziale 0x8) = 8192 |
Dopo aver abilitato il controllo degli eventi filtering platform policy change usando il comando seguente, è possibile che si verifichino alcuni eventi (ad esempio l'ID evento 5152) che indicano il blocco.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Esempio di ID evento 5152:
Log eventi | Origine evento | ID evento | Testo del messaggio |
---|---|---|---|
Sicurezza | Microsoft-Windows-Security-Auditing | 5152 | Descrizione: Windows Filtering Platform ha bloccato un pacchetto. Informazioni sull'applicazione: ID processo: 0 Nome applicazione: - Informazioni di rete: Direzione: in ingresso Indirizzo di origine: 192.168.88.50 Porta di origine: 52017 Indirizzo di destinazione: 192.168.88.53 Porta di destinazione: 445 Protocollo: Informazioni sul filtro 6: Filtrare l'ID di runtime: 67017 Nome livello: Trasporto ID runtime livello: 12 |
Causa
Questo problema si verifica perché il malware Adylkuzz che sfrutta la stessa vulnerabilità SMBv1 di Wannacrypt aggiunge un criterio IPSec denominato NETBC che blocca il traffico in ingresso sul server SMB che usa la porta TCP 445. Alcuni strumenti Adylkuzz-cleanup possono rimuovere il malware, ma non eliminare il criterio IPSec. Per informazioni dettagliate, vedere Win32/Adylkuzz.B.
Risoluzione
Per risolvere il problema, seguire questa procedura:
Installare l'aggiornamento della sicurezza MS17-010 appropriato per il sistema operativo.
Seguire i passaggi nella scheda "Cosa fare ora" di Win32/Adylkuzz.B.
Eseguire un'analisi usando Microsoft Security Scanner.
Controllare se i criteri IPSec bloccano la porta TCP 445 usando i comandi seguenti (e vedere i risultati citati per esempi).
netsh ipsec static show policy all
Policy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutes
netsh ipsec static show filterlist all level=verbose
FilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445
Note
Quando si eseguono i comandi in un server non interessato, non sono presenti criteri.
Se il criterio IPSec esiste, eliminarlo usando uno dei metodi seguenti.
Esegui questo comando:
netsh ipsec static delete policy name=netbc
Usa Editor Criteri di gruppo (GPEdit.msc):
Editor Criteri di gruppo locali/Configurazione computer/Impostazioni di Windows/Impostazioni di sicurezza/Sicurezza IPSec
Ulteriori informazioni
A partire da ottobre 2016, Microsoft usa un nuovo modello di manutenzione per le versioni supportate degli aggiornamenti di Windows Server. Questo nuovo modello di manutenzione per la distribuzione degli aggiornamenti semplifica la risoluzione dei problemi di sicurezza e affidabilità. Microsoft consiglia di mantenere aggiornati i sistemi per assicurarsi che siano protetti e applicare le correzioni più recenti.
Questa minaccia può eseguire i comandi seguenti:
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Può anche aggiungere regole del firewall per consentire le connessioni usando questi comandi:
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow