Udostępnij za pośrednictwem

Udostępnianie protokołu SMB nie jest dostępne, gdy port TCP 445 nasłuchuje w systemie Windows Server

Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że nie można uzyskać dostępu do zasobu udostępnionego bloku komunikatów serwera (SMB), nawet jeśli zasób udostępniony jest włączony w docelowym systemie Windows Server.

Oryginalny numer KB: 4471134

Symptomy

Nie można uzyskać dostępu do zasobu udostępnionego bloku komunikatów serwera (SMB), nawet jeśli zasób udostępniony jest włączony w docelowym systemie Windows Server. Po uruchomieniu polecenia netstat, aby wyświetlić połączenia sieciowe, wyniki pokazują, że port TCP 445 nasłuchuje. Jednak ślady sieci pokazują, że komunikacja na porcie TCP 445 kończy się niepowodzeniem w następujący sposób:

Element źródłowy Lokalizacja docelowa Protokół opis
Klient SERVER TCP TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (współczynnik skalowania negocjacji 0x8) = 8192
Klient SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (współczynnik skalowania negocjacji 0x8) = 8192
Klient SERVER TCP TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (współczynnik skalowania negocjacji 0x8) = 8192

Po włączeniu inspekcji zdarzeń zmiany zasad platformy filtrowania za pomocą następującego polecenia może wystąpić pewne zdarzenia (takie jak identyfikator zdarzenia 5152), które wskazują na blokowanie.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Przykład zdarzenia o identyfikatorze 5152:

Dziennik zdarzeń Źródło zdarzeń Identyfikator zdarzenia Tekst komunikatu
Bezpieczeństwo Microsoft-Windows-Security-Auditing 5152 Opis rozwiązania:
Platforma filtrowania systemu Windows zablokowała pakiet.

Informacje o aplikacji:
Identyfikator procesu: 0
Nazwa aplikacji: -
Informacje o sieci:
Kierunek: Ruch przychodzący
Adres źródłowy: 192.168.88.50
Port źródłowy: 52017
Adres docelowy: 192.168.88.53
Port docelowy: 445
Protokół: 6Filter Information:
Identyfikator czasu wykonywania filtru: 67017
Nazwa warstwy: Transport
Identyfikator czasu wykonywania warstwy: 12

Przyczyna

Ten problem występuje, ponieważ złośliwe oprogramowanie Adylkuzz, które wykorzystuje tę samą lukę w zabezpieczeniach SMBv1, co wannacrypt dodaje zasady PROTOKOŁU IPSec o nazwie NETBC , które blokują ruch przychodzący na serwerze SMB korzystającym z portu TCP 445. Niektóre narzędzia do oczyszczania adylkuzz mogą usunąć złośliwe oprogramowanie, ale nie można usunąć zasad IPSec. Aby uzyskać szczegółowe informacje, zobacz Win32/Adylkuzz.B.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Zainstaluj wersję ms17-010 aktualizacji zabezpieczeń odpowiednią dla systemu operacyjnego.

  2. Wykonaj kroki na karcie "Co zrobić teraz" win32/Adylkuzz.B.

  3. Uruchom skanowanie przy użyciu skanera zabezpieczeń firmy Microsoft.

  4. Sprawdź, czy zasady PROTOKOŁU IPSec blokują port TCP 445 przy użyciu następujących poleceń (i zapoznaj się z cytowanymi wynikami, aby zapoznać się z przykładami).

    netsh ipsec static show policy all

    Policy Name: netbc  
Description: NONE  
Last Modified: <DateTime>  
Assigned: YES  
Master PFS: NO  
Polling Interval: 180 minutes

    netsh ipsec static show filterlist all level=verbose

    FilterList Name: block  
Description: NONE  
Store: Local Store <WIN>  
Last Modified: <DateTime>  
GUID: {ID}  
No. of Filters: 1  
Filter(s)  
---------  
Description: 445  
Mirrored: YES  
Source IP Address: <IP Address>  
Source Mask: 0.0.0.0  
Source DNS Name: <IP Address>  
Destination IP Address: <IP Address>  
Destination DNS Name: <IP Address>  
Protocol: TCP  
Source Port: ANY  
Destination Port : 445

    Uwaga 16.

    Po uruchomieniu poleceń na niezakażonym serwerze nie ma żadnych zasad.

  5. Jeśli istnieją zasady PROTOKOŁU IPSec, usuń je przy użyciu jednej z następujących metod.

    • Uruchom następujące polecenie:

      netsh ipsec static delete policy name=netbc

    • Użyj Edytora zasad grupy (GPEdit.msc):

      Edytor lokalnych zasad grupy/Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zabezpieczenia IPSec

Więcej informacji

Od października 2016 r. firma Microsoft korzysta z nowego modelu obsługi dla obsługiwanych wersji aktualizacji systemu Windows Server. Ten nowy model obsługi dystrybucji aktualizacji upraszcza sposób rozwiązywania problemów z zabezpieczeniami i niezawodnością. Firma Microsoft zaleca aktualizowanie systemów, aby upewnić się, że są one chronione i mają zastosowane najnowsze poprawki.

To zagrożenie może uruchamiać następujące polecenia:

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

Może również dodać reguły zapory, aby zezwolić na połączenia przy użyciu następujących poleceń:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow