Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma solução para um problema em que você não pode acessar um recurso compartilhado SMB (Server Message Block) mesmo quando o recurso compartilhado está habilitado no Windows Server de destino.
Número original do KB: 4471134
Sintomas
Você não pode acessar um recurso compartilhado SMB (Server Message Block) mesmo quando o recurso compartilhado está habilitado no Windows Server de destino. Quando você executa o comando netstat para mostrar as conexões de rede, os resultados mostram que a porta TCP 445 está escutando. No entanto, os rastreamentos de rede mostram que a comunicação na porta TCP 445 está falhando da seguinte maneira:
| Origem | Destino | Protocolo | Descrição |
|---|---|---|---|
| Cliente | SERVER | TCP | TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fator de escala de negociação 0x8) = 8192 |
| Cliente | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fator de escala de negociação 0x8) = 8192 |
| Cliente | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Fator de escala de negociação 0x8) = 8192 |
Depois de habilitar a auditoria de eventos de Alteração de Política da Plataforma de Filtragem usando o comando a seguir, você poderá enfrentar alguns eventos (como a ID de evento 5152) que indicam bloqueio.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Exemplo de ID de evento 5152:
| Log de eventos | Origem do Evento | ID do evento | Texto da mensagem |
|---|---|---|---|
| Segurança | Microsoft-Windows-Security-Auditing | 5152 | Descrição: A Plataforma de Filtragem do Windows bloqueou um pacote. Informações do aplicativo: ID do processo: 0 Nome do aplicativo: - Informações de rede: Direção: Entrada Endereço de origem: 192.168.88.50 Porta de origem: 52017 Endereço de destino: 192.168.88.53 Porto de destino: 445 Protocolo: 6Informações do filtro: ID do tempo de execução do filtro: 67017 Nome da camada: Transporte ID do tempo de execução da camada: 12 |
Motivo
Esse problema ocorre porque o malware Adylkuzz que aproveita a mesma vulnerabilidade SMBv1 que o Wannacrypt adiciona uma política IPSec chamada NETBC que bloqueia o tráfego de entrada no servidor SMB que está usando a porta TCP 445. Algumas ferramentas de limpeza do Adylkuzz podem remover o malware, mas não conseguem excluir a política IPSec. Para obter detalhes, consulte Win32/Adylkuzz.B.
Resolução
Para corrigir o problema, siga estas etapas:
Instale a atualização de segurança MS17-010 versão apropriada para o sistema operacional.
Siga as etapas na guia "O que fazer agora" do Win32/Adylkuzz.B.
Execute uma verificação usando o Verificador de Segurança da Microsoft.
Verifique se a diretiva IPSec bloqueia a porta TCP 445 usando os comandos a seguir (e consulte os resultados citados para obter exemplos).
netsh ipsec static show policy allPolicy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutesnetsh ipsec static show filterlist all level=verboseFilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445Observação
Quando você executa os comandos em um servidor não infectado, não há política.
Se a diretiva IPSec existir, exclua-a usando um dos métodos a seguir.
Execute o comando a seguir:
netsh ipsec static delete policy name=netbcUse o Editor de Diretiva de Grupo (GPEdit.msc):
Editor de Diretiva de Grupo Local/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Segurança IPSec
Mais informações
Desde outubro de 2016, a Microsoft usa um novo modelo de manutenção para as versões com suporte das atualizações do Windows Server. Esse novo modelo de manutenção para distribuição de atualizações simplifica a maneira como os problemas de segurança e confiabilidade são resolvidos. A Microsoft recomenda manter seus sistemas atualizados para garantir que eles estejam protegidos e tenham as correções mais recentes aplicadas.
Essa ameaça pode executar os seguintes comandos:
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Ele também pode adicionar regras de firewall para permitir conexões usando estes comandos:
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow