Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, hedef Windows Server'da paylaşılan kaynak etkinleştirildiğinde bile Sunucu İleti Bloğu (SMB) paylaşılan kaynağına erişememe sorununun çözümü sağlanır.
Özgün KB numarası: 4471134
Belirtiler
Paylaşılan kaynak hedef Windows Server'da etkinleştirildiğinde bile Sunucu İleti Bloğu (SMB) paylaşılan kaynağına erişemezsiniz. Ağ bağlantılarını göstermek için netstat komutunu çalıştırdığınızda, sonuçlar 445 numaralı TCP bağlantı noktasının dinlediğini gösterir. Ancak ağ izlemeleri, 445 numaralı TCP bağlantı noktası üzerindeki iletişimin aşağıdaki gibi başarısız olduğunu gösterir:
| Kaynak | Hedef | Protokol | Açıklama |
|---|---|---|---|
| İstemci | SUNUCU | TCP | TCP:Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Anlaşma ölçek faktörü 0x8) = 8192 |
| İstemci | SUNUCU | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Anlaşma ölçek faktörü 0x8) = 8192 |
| İstemci | SUNUCU | TCP | TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Anlaşma ölçek faktörü 0x8) = 8192 |
Aşağıdaki komutu kullanarak Filtreleme Platformu İlkesi Değişikliği olaylarının denetimini etkinleştirdikten sonra, engellemeyi gösteren bazı olaylarla (olay kimliği 5152 gibi) karşılaşabilirsiniz.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Olay kimliği 5152 örneği:
| Olay günlüğü | Olay kaynağı | Olay Kodu | İleti metni |
|---|---|---|---|
| Güvenlik | Microsoft-Windows-Security-Auditing | 5152 | Açıklama: Windows Filtreleme Platformu bir paketi engelledi. Uygulama Bilgileri: İşlem Kimliği: 0 Uygulama Adı: - Ağ Bilgileri: Yön: Gelen Kaynak Adresi: 192.168.88.50 Kaynak Bağlantı Noktası: 52017 Hedef Adres: 192.168.88.53 Hedef Bağlantı Noktası: 445 Protokol: 6Filtre Bilgileri: Filtre Çalışma Zamanı Kimliği: 67017 Katman Adı: Aktarım Katman Çalışma Zamanı Kimliği: 12 |
Neden
Bu sorun, Wannacrypt ile aynı SMBv1 güvenlik açığından yararlanan Adylkuzz kötü amaçlı yazılımının 445 numaralı TCP bağlantı noktasını kullanan SMB sunucusunda gelen trafiği engelleyen NETBC adlı bir IPSec ilkesi eklemesi nedeniyle oluşur. Bazı Adylkuzz-cleanup araçları kötü amaçlı yazılımı kaldırabilir ancak IPSec ilkesini silemez. Ayrıntılar için bkz . Win32/Adylkuzz.B.
Çözüm
Bu sorunu çözmek için şu adımları izleyin:
İşletim sistemine uygun güvenlik güncelleştirmesi MS17-010 sürümünü yükleyin.
Win32/Adylkuzz.B dosyasının "Şimdi ne yapmalı" sekmesindeki adımları izleyin.
Microsoft Güvenlik Tarayıcısı'nı kullanarak bir tarama çalıştırın.
AŞAĞıDAKI komutları kullanarak IPSec ilkesinin 445 numaralı TCP bağlantı noktasını engelleyip engellemediğini denetleyin (örnekler için alıntı yapılan sonuçlara bakın).
netsh ipsec static show policy allPolicy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutesnetsh ipsec static show filterlist all level=verboseFilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445Not
Komutları bulaşmamış bir sunucuda çalıştırdığınızda, ilke yoktur.
IPSec ilkesi varsa, aşağıdaki yöntemlerden birini kullanarak silin.
Şu komutu çalıştırın:
netsh ipsec static delete policy name=netbcGrup İlkesi Düzenleyicisi'ni (GPEdit.msc) kullanın:
Yerel Grup İlkesi Düzenleyicisi/Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/IPSec Güvenliği
Daha Fazla Bilgi
Ekim 2016'dan bu yana Microsoft, Windows Server güncelleştirmelerinin desteklenen sürümleri için yeni bir hizmet modeli kullanıyor. Güncelleştirmeleri dağıtmaya yönelik bu yeni hizmet modeli, güvenlik ve güvenilirlik sorunlarının ele alınma şeklini basitleştirir. Microsoft, sistemlerinizin korunduğundan ve en son düzeltmelerin uygulandığından emin olmak için sistemlerinizin güncel tutulmasını önerir.
Bu tehdit aşağıdaki komutları çalıştırabilir:
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Ayrıca şu komutları kullanarak bağlantılara izin vermek için güvenlik duvarı kuralları ekleyebilir:
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow