Общий доступ к SMB недоступен, если TCP-порт 445 прослушивается в Windows Server
В этой статье описано решение проблемы, из-за которой общий ресурс недоступен для общего ресурса (SMB), даже если общий ресурс включен в целевом windows Server.
Исходный номер базы знаний: 4471134
Общий ресурс блока сообщений сервера (SMB) нельзя получить, даже если общий ресурс включен в целевом windows Server. При выполнении команды netstat для отображения сетевых подключений результаты показывают, что tcp-порт 445 прослушивается. Однако трассировки сети показывают, что связь через TCP-порт 445 завершается ошибкой следующим образом:
| Источник | Назначение | Протокол | Description |
|---|---|---|---|
| Клиент | SERVER | TCP | TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192 |
| Клиент | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192 |
| Клиент | SERVER | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (коэффициент масштабирования переговоров 0x8) = 8192 |
После включения аудита событий изменения политики фильтрации платформы с помощью следующей команды можно столкнуться с некоторыми событиями (например, идентификатором события 5152), которые указывают на блокировку.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Пример идентификатора события 5152:
| Журнал событий | Источник событий | ИД события | Текст сообщения |
|---|---|---|---|
| Безопасность | Microsoft-Windows-Security-Auditing | 5152 | Описание. Платформа фильтрации Windows заблокирована пакетом. Сведения о приложении: Идентификатор процесса: 0 Имя приложения: — Информация по сети Направление: входящий трафик Исходный адрес: 192.168.88.50 Исходный порт: 52017 Адрес назначения: 192.168.88.53 Порт назначения: 445 Протокол: 6Filter Information: Идентификатор времени выполнения фильтра: 67017 Имя уровня: транспорт Идентификатор времени выполнения слоя: 12 |
Эта проблема возникает, так как вредоносные программы Adylkuzz, использующие ту же уязвимость SMBv1, что и Wannacrypt, добавляет политику IPSec, которая называется NETBC , которая блокирует входящий трафик на сервере SMB, использующем TCP-порт 445. Некоторые средства очистки Adylkuzz могут удалить вредоносные программы, но не удалять политику IPSec. Дополнительные сведения см. в статье Win32/Adylkuzz.B.
Чтобы устранить проблему, выполните указанные ниже действия.
Установите обновление безопасности MS17-010, соответствующее операционной системе.
Выполните действия на вкладке "Что делать сейчас" Win32/Adylkuzz.B.
Запустите проверку с помощью средства проверки безопасности Майкрософт.
Проверьте, блокирует ли политика IPSec tcp-порт 445 с помощью следующих команд (и ознакомьтесь с приведенными результатами.
netsh ipsec static show policy allPolicy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutesnetsh ipsec static show filterlist all level=verboseFilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445Примечание
При выполнении команд на неисполнимом сервере политика отсутствует.
Если политика IPSec существует, удалите ее с помощью одного из следующих методов.
Выполните следующую команду:
netsh ipsec static delete policy name=netbcИспользуйте редактор групповой политики (GPEdit.msc):
Редактор локальных групповых политик, конфигурация компьютера, параметры Windows, параметры безопасности/ безопасность IPSec
С октября 2016 года корпорация Майкрософт использует новую модель обслуживания для поддерживаемых версий обновлений Windows Server. Эта новая модель обслуживания для распространения обновлений упрощает решение проблем безопасности и надежности. Корпорация Майкрософт рекомендует обновлять системы, чтобы убедиться, что они защищены и применяют последние исправления.
Эта угроза может выполнять следующие команды:
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Кроме того, он может добавлять правила брандмауэра для разрешения подключений с помощью следующих команд:
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow