El uso compartido de SMB no es accesible cuando el puerto TCP 445 está escuchando en Windows Server

Support Topic: Windows Servers/Windows Server 2016/Windows Server 2016 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2016/Windows Server 2016 Essentials/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2016/Windows Server 2016 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 R2 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 R2 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Enterprise/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Service Pack 1/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Datacenter without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Enterprise/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Enterprise without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Service Pack 2/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Standard without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Síntomas

No puede acceder a un recurso compartido del bloque de mensajes del servidor (SMB) incluso cuando el recurso compartido está habilitado en Windows Server de destino. Cuando ejecuta el comando netstat para mostrar las conexiones de red, los resultados muestran que el puerto TCP 445 está escuchando. Sin embargo, los rastros en la red muestran que la comunicación en el puerto TCP 445 está fallando de la siguiente manera:

Origen

Destino

Protocolo

Descripción

Cliente

SERVER

TCP

TCP:Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Factor de escala de negociación 0x8) = 8192

Cliente

SERVER

TCP

TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Factor de escala de negociación 0x8)

Cliente

SERVER

TCP

TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Factor de escala de negociación 0x8)


Después de habilitar la auditoría de eventos del Cambio de directiva de la plataforma de filtrado mediante el siguiente comando, puede experimentar algunos eventos (como el Id. de evento 5152) que indican el bloqueo.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Ejemplo del Id. de evento 5152:

Registro de eventos

Origen del evento

Id. de suceso

Texto del mensaje

Seguridad

Microsoft-Windows-Security-Auditing

5152

Descripción:
La plataforma de filtrado de Windows ha bloqueado un paquete.

Información de la aplicación:
Process ID: 0
Nombre de la aplicación: -
Información de red:
Dirección: Entrada
Dirección de origen: 192.168.88.50
Puerto de origen: 52017
Dirección de destino: 192.168.88.53
Puerto de destino: 445
Protocolo: 6

Información del filtro:
Id. de tiempo de ejecución del filtro: 67017
Nombre de la capa: Transporte
Id. de tiempo de ejecución de capa: 12

Causa

Este problema se produce porque el malware Adylkuzz que aprovecha la misma vulnerabilidad SMBv1 que Wannacrypt añade una directiva IPSec denominada NETBC que bloquea el tráfico entrante en el servidor SMB que usa el puerto TCP 445. Algunas herramientas de limpieza de Adylkuzz pueden eliminar el malware, pero no pueden eliminar la directiva IPSec. Para obtener más información, consulte Win32/Adylkuzz.B.

Solución

Para resolver este problema, siga estos pasos:

  1. Instale la versión adecuada de la actualización de seguridad MS17-010 para el sistema operativo.

  2. Siga los pasos de la pestaña “Qué hacer ahora” de Win32/Adylkuzz.B.

  3. Ejecute un análisis utilizando el Analizador de seguridad de Microsoft.

  4. Compruebe si la directiva IPSec bloquea el puerto TCP 445 utilizando los siguientes comandos (y vea los resultados citados para ver ejemplos).

    directiva de presentación estática netsh ipsec

    Nombre de la directiva: netbc
    Descripción: NINGUNO
    Última modificación: 24/05/2017 4:33:45 a.m.
    Asignado: SÍ
    PFS maestra: NO
    Intervalo de sondeo: 180 minutos

    netsh ipsec static show filterlist all level=verbose

    Nombre FilterList: bloque
    Descripción: NINGUNO
    Tienda: Tienda local <WIN>
    Última modificación: 24/05/2017 4:32:18 a.m.
    GUID: {ID}
    No. de filtros: 1
    Filtro(s)
    ---------
    Descripción: 445
    Reflejado: SÍ
    Dirección IP de origen: <Dirección IP>
    Máscara de origen: 0.0.0.0
    Nombre del DNS de origen: <Dirección IP>
    Dirección IP de destino: <Dirección IP>
    Nombre DNS de destino: <Dirección IP>
    Protocolo: TCP
    Puerto de origen: ANY
    Puerto de destino: 445

    Nota Cuandoejecuta los comandos en un servidor que no está infectado, no hay ninguna directiva.

  5. Si existe la directiva IPSec, elimínela utilizando uno de los métodos siguientes.

    • Ejecute el siguiente comando:

      netsh ipsec static delete policy name=netbc

    • Editor de directivas de grupo (GPEdit.msc):

      Editor de directivas de grupo locales/Configuración del equipo/Configuración de Windows/Configuración de seguridad/Seguridad IPSec

Más información

Desde octubre de 2016, Microsoft ha utilizado un nuevo modelo de servicio para las versiones compatibles de las actualizaciones de Windows Server. Este nuevo modelo de servicio para la distribución de actualizaciones simplifica la forma en que se abordan los problemas de seguridad y confiabilidad. Microsoft recomienda mantener los sistemas actualizados para asegurarse de que están protegidos y que cuentan con las correcciones más recientes.

Este subproceso puede ejecutar los siguientes comandos:

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

También puede agregar reglas de firewall para permitir conexiones utilizando estos comandos:

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×