Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel bevat een oplossing voor een probleem waarbij u geen toegang hebt tot een gedeelde SMB-resource (Server Message Block), zelfs niet wanneer de gedeelde resource is ingeschakeld in de doel-Windows Server.
Oorspronkelijk KB-nummer: 4471134
Symptomen
U hebt geen toegang tot een gedeelde SMB-resource (Server Message Block), zelfs niet wanneer de gedeelde resource is ingeschakeld op de windows-doelserver. Wanneer u de netstat-opdracht uitvoert om de netwerkverbindingen weer te geven, ziet u in de resultaten dat TCP-poort 445 luistert. Netwerktraceringen laten echter zien dat communicatie op TCP-poort 445 als volgt mislukt:
Bron | Bestemming | Protocol | Beschrijving |
---|---|---|---|
Klant | Server | TCP | TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192 |
Klant | Server | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192 |
Klant | Server | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Onderhandelingsschaalfactor 0x8) = 8192 |
Nadat u de controle van gebeurtenissen voor het filteren van platformbeleidswijziging hebt ingeschakeld met behulp van de volgende opdracht, kunnen er enkele gebeurtenissen (zoals gebeurtenis-id 5152) optreden die wijzen op blokkeren.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Voorbeeld van gebeurtenis-id 5152:
Gebeurtenislogboek | Gebeurtenisbron | Gebeurtenis-id | Berichttekst |
---|---|---|---|
Beveiliging | Microsoft-Windows-Security-Auditing | 5152 | Beschrijving: Het Windows-filterplatform heeft een pakket geblokkeerd. Toepassingsgegevens: Proces-id: 0 Toepassingsnaam: - Netwerkgegevens: Richting: Inkomend Bronadres: 192.168.88.50 Bronpoort: 52017 Doeladres: 192.168.88.53 Doelpoort: 445 Protocol: 6Filter-informatie: Runtime-id filteren: 67017 Laagnaam: Transport Runtime-id van laag: 12 |
Oorzaak
Dit probleem treedt op omdat de Adylkuzz-malware die gebruikmaakt van hetzelfde SMBv1-beveiligingsprobleem als Wannacrypt, een IPSec-beleid met de naam NETBC toevoegt dat binnenkomend verkeer blokkeert op de SMB-server die gebruikmaakt van TCP-poort 445. Sommige hulpprogramma's voor het opschonen van Adylkuzz kunnen de malware verwijderen, maar het IPSec-beleid niet verwijderen. Zie Win32/Adylkuzz.B voor meer informatie.
Oplossing
Volg deze stappen om dit probleem op te lossen:
Installeer de beveiligingsupdate MS17-010 die geschikt is voor het besturingssysteem.
Volg de stappen op het tabblad 'Wat moet ik nu doen' van Win32/Adylkuzz.B.
Voer een scan uit met behulp van de Microsoft-beveiligingsscanner.
Controleer of het IPSec-beleid de TCP-poort 445 blokkeert met behulp van de volgende opdrachten (en bekijk de geciteerde resultaten voor voorbeelden).
netsh ipsec static show policy all
Policy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutes
netsh ipsec static show filterlist all level=verbose
FilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445
Notitie
Wanneer u de opdrachten uitvoert op een niet-geïnfecteerde server, is er geen beleid.
Als het IPSec-beleid bestaat, verwijdert u het met behulp van een van de volgende methoden.
Voer de volgende opdracht uit:
netsh ipsec static delete policy name=netbc
Groepsbeleidseditor (GPEdit.msc) gebruiken:
Editor voor lokale groepsbeleid/computerconfiguratie/Windows-instellingen/beveiligingsinstellingen/IPSec-beveiliging
Meer informatie
Sinds oktober 2016 gebruikt Microsoft een nieuw onderhoudsmodel voor de ondersteunde versies van Windows Server-updates. Dit nieuwe onderhoudsmodel voor het distribueren van updates vereenvoudigt de manier waarop problemen met beveiliging en betrouwbaarheid worden opgelost. Microsoft raadt u aan uw systemen up-to-date te houden om ervoor te zorgen dat ze zijn beveiligd en dat de meest recente oplossingen zijn toegepast.
Deze bedreiging kan de volgende opdrachten uitvoeren:
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
U kunt ook firewallregels toevoegen om verbindingen toe te staan met behulp van deze opdrachten:
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow