Delen via


SMB-delen is niet toegankelijk wanneer TCP-poort 445 luistert in Windows Server

Dit artikel bevat een oplossing voor een probleem waarbij u geen toegang hebt tot een gedeelde SMB-resource (Server Message Block), zelfs niet wanneer de gedeelde resource is ingeschakeld in de doel-Windows Server.

Oorspronkelijk KB-nummer: 4471134

Symptomen

U hebt geen toegang tot een gedeelde SMB-resource (Server Message Block), zelfs niet wanneer de gedeelde resource is ingeschakeld op de windows-doelserver. Wanneer u de netstat-opdracht uitvoert om de netwerkverbindingen weer te geven, ziet u in de resultaten dat TCP-poort 445 luistert. Netwerktraceringen laten echter zien dat communicatie op TCP-poort 445 als volgt mislukt:

Bron Bestemming Protocol Beschrijving
Klant Server TCP TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192
Klant Server TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192
Klant Server TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192

Nadat u de controle van gebeurtenissen voor het filteren van platformbeleidswijziging hebt ingeschakeld met behulp van de volgende opdracht, kunnen er enkele gebeurtenissen (zoals gebeurtenis-id 5152) optreden die wijzen op blokkeren.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Voorbeeld van gebeurtenis-id 5152:

Gebeurtenislogboek Gebeurtenisbron Gebeurtenis-id Berichttekst
Beveiliging Microsoft-Windows-Security-Auditing 5152 Beschrijving:
Het Windows-filterplatform heeft een pakket geblokkeerd.

Toepassingsgegevens:
Proces-id: 0
Toepassingsnaam: -
Netwerkgegevens:
Richting: Inkomend
Bronadres: 192.168.88.50
Bronpoort: 52017
Doeladres: 192.168.88.53
Doelpoort: 445
Protocol: 6Filter-informatie:
Runtime-id filteren: 67017
Laagnaam: Transport
Runtime-id van laag: 12

Oorzaak

Dit probleem treedt op omdat de Adylkuzz-malware die gebruikmaakt van hetzelfde SMBv1-beveiligingsprobleem als Wannacrypt, een IPSec-beleid met de naam NETBC toevoegt dat binnenkomend verkeer blokkeert op de SMB-server die gebruikmaakt van TCP-poort 445. Sommige hulpprogramma's voor het opschonen van Adylkuzz kunnen de malware verwijderen, maar het IPSec-beleid niet verwijderen. Zie Win32/Adylkuzz.B voor meer informatie.

Oplossing

Volg deze stappen om dit probleem op te lossen:

  1. Installeer de beveiligingsupdate MS17-010 die geschikt is voor het besturingssysteem.

  2. Volg de stappen op het tabblad 'Wat moet ik nu doen' van Win32/Adylkuzz.B.

  3. Voer een scan uit met behulp van de Microsoft-beveiligingsscanner.

  4. Controleer of het IPSec-beleid de TCP-poort 445 blokkeert met behulp van de volgende opdrachten (en bekijk de geciteerde resultaten voor voorbeelden).

    netsh ipsec static show policy all
    
    Policy Name: netbc  
    Description: NONE  
    Last Modified: <DateTime>  
    Assigned: YES  
    Master PFS: NO  
    Polling Interval: 180 minutes
    
    netsh ipsec static show filterlist all level=verbose
    
    FilterList Name: block  
    Description: NONE  
    Store: Local Store <WIN>  
    Last Modified: <DateTime>  
    GUID: {ID}  
    No. of Filters: 1  
    Filter(s)  
    ---------  
    Description: 445  
    Mirrored: YES  
    Source IP Address: <IP Address>  
    Source Mask: 0.0.0.0  
    Source DNS Name: <IP Address>  
    Destination IP Address: <IP Address>  
    Destination DNS Name: <IP Address>  
    Protocol: TCP  
    Source Port: ANY  
    Destination Port : 445  
    

    Notitie

    Wanneer u de opdrachten uitvoert op een niet-geïnfecteerde server, is er geen beleid.

  5. Als het IPSec-beleid bestaat, verwijdert u het met behulp van een van de volgende methoden.

    • Voer de volgende opdracht uit:

      netsh ipsec static delete policy name=netbc
      
    • Groepsbeleidseditor (GPEdit.msc) gebruiken:

      Editor voor lokale groepsbeleid/computerconfiguratie/Windows-instellingen/beveiligingsinstellingen/IPSec-beveiliging

Meer informatie

Sinds oktober 2016 gebruikt Microsoft een nieuw onderhoudsmodel voor de ondersteunde versies van Windows Server-updates. Dit nieuwe onderhoudsmodel voor het distribueren van updates vereenvoudigt de manier waarop problemen met beveiliging en betrouwbaarheid worden opgelost. Microsoft raadt u aan uw systemen up-to-date te houden om ervoor te zorgen dat ze zijn beveiligd en dat de meest recente oplossingen zijn toegepast.

Deze bedreiging kan de volgende opdrachten uitvoeren:

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

U kunt ook firewallregels toevoegen om verbindingen toe te staan met behulp van deze opdrachten:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow