缺少管理共享时可能发生的问题概述
本文针对缺少管理共享时可能出现的问题提供了解决方案。
原始 KB 编号: 842715
摘要
本文介绍计算机上缺少一个或多个隐藏管理共享时可能出现的症状。 本文还提供了有关如何解决此问题的信息。
如果已确定计算机缺少一个或多个隐藏的管理共享,请参阅“原因”和“解决方法”部分。 请注意,缺少管理共享通常表示相关计算机已被恶意软件入侵。 建议用户在受攻击的服务器上格式化并重新安装 Windows。
症状
当管理共享被删除或计算机中缺少管理共享时,可能会遇到各种问题。
如果使用 net share 命令或 MPSReports,输出可能会显示计算机缺少 IPC$、ADMIN$或 C$ 共享。 如果重新创建缺少的共享,则可能在下一次启动或登录后再次丢失该共享。 即使将 AutoShareServer 和 AutoShareWks 注册表 DWORD 值设置为 1,也可能会出现此问题。
你可能会发现从“启动”文件夹或注册表中的 “运行” 键启动的未知进程。 防病毒软件可以检测病毒、蠕虫、特洛伊木马或后门程序。 或者,Web 服务器上的 FTP 根目录可能填充了未知文件。
以下列表是可能与此问题相关的问题行为的综合列表。
如果受影响的计算机是域控制器,你可能会在网络登录期间或在客户端计算机尝试加入域期间收到错误消息。 有时,可以使用客户端计算机登录,但可能会收到类似于以下任一错误消息:
-
你提供的域密码不正确,或者对登录服务器的访问被拒绝。
-
登录服务器无法识别域密码,或者拒绝访问服务器。
-
没有登录服务器可用于为登录请求提供服务。
尝试加入域时,可能会收到类似于以下内容的错误消息:
尝试加入域“Domain_Name”时发生以下错误:找不到网络名称。
-
尝试使用 UNC 路径、映射驱动器、net use 命令、net view 命令或浏览网络邻居或我的网络位置中的网络来远程访问或查看受影响的计算机时,可能会收到类似于以下内容之一的错误消息:
-
服务器未针对事务配置。
-
发生了系统错误 53。 未找到网络路径。
-
Domain_Name 不可访问。
-
尝试在域控制器上执行管理任务时,可能会收到错误。 例如,MMC 管理单元(如 Active Directory 用户和计算机或 Active Directory 站点和服务)可能无法启动,并且可能会收到类似于以下错误消息:
无法找到命名信息,因为:登录尝试失败。
尝试将用户添加到安全组时,可能会收到类似于以下内容的错误消息:
无法打开对象选取器,因为找不到要从中选择对象的位置。
尝试运行 Netdom.exe 查找 FSMO 角色时,可能会收到类似于以下错误消息:
无法更新密码。 作为当前密码提供的值不正确。
尝试运行 Dcdiag.exe 时,可能会收到类似于以下错误消息:
失败并显示 67:找不到网络名称
Dcdiag.exe 的结果可能还会列出类似于以下的 LDAP 绑定错误:
LDAP 绑定失败,出现错误 1323。
尝试运行 Netdiag.exe 时,可能会收到类似于以下内容的错误消息:
DC 列表测试。 . . . . . . . . . . : 失败
未能使用浏览器枚举 DC。 [NERR_BadTransactConfig]如果在尝试连接到受影响的计算机时运行网络跟踪,可能会看到类似于以下结果:
C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$ R session setup & X - DOS Error, (67) BAD_NET_NAME在服务器上,WINS 服务可能无法启动,或者 WINS 控制台可能会显示红色 X,或同时显示这两者。
与以下事件类似的 NetBT 4311 事件可能会记录在事件查看器中:
事件 ID:4311
事件源:NetBT
事件类型:错误
说明:初始化失败,因为无法创建驱动程序设备终端服务许可控制台可能无法启动,你可能会收到类似于以下内容的错误消息:
-
当前域或工作组中没有可用的终端服务许可证服务器。 若要连接到另一个许可证服务器,请单击“许可证”,单击“连接”,然后单击服务器名称。
-
网络地址无效
-
原因
恶意程序删除运行 Windows Server 的计算机上的管理共享后,可能会出现这些问题。
通常,恶意用户会利用弱密码、缺少安全更新、计算机直接暴露到 Internet 或这些因素的组合来连接到这些管理共享。 然后,恶意用户安装恶意程序,以扩大他们对计算机和计算机网络其余部分的影响。 在许多情况下,这些恶意程序会删除管理共享,作为防御措施,以防止其他相互竞争的恶意用户控制受感染的系统。
这些恶意程序之一的感染可能直接来自 Internet 或受感染的本地网络上的另一台计算机。 它通常表示网络上的安全性很弱。 因此,如果看到这些症状,建议使用防病毒软件和间谍软件检测工具检查网络上的所有其他计算机是否存在恶意程序。 我们还建议执行安全分析,以识别网络上的漏洞。 有关如何检测恶意程序以及如何分析网络安全的信息,请参阅“解决方法”部分。
以管理共享为目标的恶意程序的一个示例是 Win32.Agobot 该程序。
Microsoft 提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证此第三方联系信息的准确性。
注意
程序 Win32.Agobot 只是一个示例。 当防病毒供应商发现恶意程序并将其添加到其病毒定义时,恶意程序就会过时。 但是,恶意用户经常开发新程序和变体,以避免防病毒软件进行检测。
解决方案
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请单击下面的文章编号查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows 中备份和还原注册表
若要验证计算机是否受此问题影响,请执行以下步骤:
检查 AutoShareServer 和 AutoShareWks 注册表值,确保它们未设置为 0:
- 单击 “开始”,单击“ 运行”,键入“regedit”,然后按 Enter。
- 找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters - 如果 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置为值数据 0,请将该值更改为 1。
注意
如果这些值不存在,则不必创建它们,因为默认行为是自动创建管理共享。
- 退出注册表编辑器。
重启计算机。 通常,运行 Windows Server 的计算机会在启动期间自动创建管理共享。
计算机重启后,验证管理共享是否处于活动状态。 若要检查共享,请使用 net share 命令。 要执行此操作,请执行以下步骤:
单击 “开始”,单击“ 运行”,键入 cmd,然后按 Enter。
在命令提示符下,键入 net share,然后按 Enter。
在共享列表中查找 Admin$、C$ 和 IPC$ 管理共享。
如果未列出管理共享,则计算机可能正在运行在启动期间删除共享的恶意程序。 若要查找恶意程序,请执行以下步骤:
使用最新的病毒定义在计算机上运行完整的防病毒扫描。 可以使用防病毒软件,也可以使用 Internet 上提供的几种免费病毒扫描服务之一。 有关病毒定义更新和防病毒软件供应商的免费联机扫描的链接,请参阅“更多信息”部分。
重要
如果怀疑计算机感染了恶意代码,建议尽快将其从网络中删除。 我们建议这样做,因为恶意用户可能正在使用受感染的计算机启动分布式拒绝服务 (DDoS) 攻击、发送未经请求的商业电子邮件或共享非法的软件、音乐和电影副本。
如果防病毒扫描识别出系统上的恶意程序,请使用防病毒供应商的删除说明。 此外,在防病毒供应商的网站上查看威胁评估和有关该计划的技术详细信息。 具体而言,请检查程序是否包括后门功能。 后门功能意味着程序为恶意用户提供了一种在发现并删除程序时重新获得对系统的控制权的方法。
如果有关该程序的技术详细信息表明它具有后门功能,我们建议你格式化计算机的硬盘并安全地重新安装 Windows。 有关提高基于 Windows 的计算机和服务器的安全性的信息,请访问以下 Microsoft 安全指南中心
如果防病毒扫描未识别系统上的恶意程序,并不意味着计算机没有被恶意程序感染。 更有可能的是,这可能意味着恶意程序是一个新的程序或变体,并且最新的病毒定义无法检测到它。 在这种情况下,请与防病毒供应商联系以报告问题,或向 Microsoft 产品支持服务 (PSS) 提出支持事件进行调查。
完成防病毒扫描后,检查计算机中是否有其他恶意程序,例如间谍软件或恶意用户工具。 有关间谍软件和恶意用户检测工具的链接,请参阅“更多信息”部分。
Microsoft 提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证此第三方联系信息的准确性。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈