Vue d’ensemble des problèmes qui peuvent se produire lorsque des partages administratifs sont manquants

S’applique à : Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows XP Professional

Résumé


Cet article décrit les problèmes qui peuvent se produire lorsqu’un ou plusieurs partages administratifs cachés sont manquants sur votre ordinateur. L’article fournit également des informations sur la façon de résoudre ce problème.



Si vous avez déjà déterminé qu’un ou plusieurs partages administratifs cachés est manquant sur votre ordinateur, consultez les sections « Cause » et « Résolution ». Sachez que les partages administratifs sont manquants indiquent généralement que l’ordinateur en question a été compromis par des logiciels malveillants. Il est recommandé que les utilisateurs formater et réinstaller Windows sur les serveurs compromis.

Symptômes


Vous pouvez rencontrer divers problèmes lorsque des partages administratifs sont supprimés ou ils manquent sur votre ordinateur.

Si vous utilisez la commande net share ou MPSReports, le résultat indiquera peut-être que l’IPC$, ADMIN$ ou partage C$ est manquant sur votre ordinateur. Si vous recréez d’un partage manquant, il peut être manquant après le prochain démarrage ou d’ouverture de session. Ce problème peut se produire même si vous définissez le Registre AutoShareServer et AutoShareWks valeurs DWORD à 1.



Vous pouvez constater la présence de processus inconnus qui sont lancés à partir du dossier de démarrage ou de la clé Run dans le Registre. Logiciel antivirus peut détecter les virus, les vers, les chevaux de Troie et les portes dérobées. Ou la racine FTP sur un serveur Web peut contenir des fichiers inconnus.

La liste suivante est une liste exhaustive des comportements problématiques pouvant être associés à ce problème.
  • Si l’ordinateur affecté est un contrôleur de domaine, vous pouvez recevoir des messages d’erreur sur les ordinateurs clients lors de l’ouverture de session réseau ou pendant les heures lorsqu’ils tentent de joindre le domaine. Parfois, vous pouvez vous connecter avec les ordinateurs clients qui exécutent Microsoft Windows 2000 ou Microsoft Windows XP, mais Impossible de vous connecter avec les ordinateurs clients qui exécutent Microsoft Windows 95, Microsoft Windows 98 ou Microsoft Windows Millennium Edition. Sur les ordinateurs Windows 9 x, vous pouvez recevoir un message d’erreur semblable à un des éléments suivants :
    • Le mot de passe de domaine fourni n’est pas correct, ou l’accès à votre serveur d’ouverture de session a été refusé.
    • Le serveur d’ouverture de session n’a pas reconnu votre mot de passe de domaine, ou l’accès au serveur a été refusé.

    Lorsque vous essayez d’ouvrir une session sur le réseau sur un ordinateur Windows 2000 ou Windows XP, un message d’erreur semblable au suivant peut s’afficher :
    Aucun serveur d’ouverture de session n’est disponible pour traiter la demande d’ouverture de session.
    Lorsque vous essayez de joindre le domaine, vous pouvez recevoir un message d’erreur semblable au suivant :
    L’erreur suivante s’est produite lors de la tentative de jonction au domaine 'nom_domaine' : Impossible de trouver le nom de réseau.
  • Lorsque vous essayez d’accéder à ou afficher à distance de l’ordinateur affecté en utilisant un chemin d’accès UNC, un lecteur mappé, la commande net use , la commande net view , ou en parcourant le réseau dans le Voisinage réseau ou les Favoris réseau, vous pouvez recevoir un message d’erreur semblable à l’une des opérations suivantes :

    • Le serveur n’est pas configuré pour les transactions.

    • Erreur système 53 s’est produite. Le chemin d’accès réseau est introuvable.
    • Nom_domaine n’est pas accessible.


  • Vous pouvez recevoir des erreurs lorsque vous essayez d’effectuer des tâches administratives sur un contrôleur de domaine. Par exemple,-composants logiciels enfichables MMC, tels que les ordinateurs et utilisateurs Active Directory ou Sites Active Directory et les Services peuvent ne pas démarrer et un message d’erreur semblable au suivant peut s’afficher :

    Les informations de nom ne peut pas être localisée car : tentative de connexion a échoué.
  • Lorsque vous essayez d’ajouter un utilisateur à un groupe de sécurité, vous pouvez recevoir un message d’erreur semblable au suivant :

    Impossible d’ouvrir le sélecteur d’objet, car aucun emplacement à partir duquel choisir les objets ne peut être trouvé.
  • Lorsque vous essayez d’exécuter Netdom.exe à partir des outils de Support Windows 2000 pour rechercher les rôles FSMO, un message d’erreur semblable au suivant peut s’afficher :

    Impossible de mettre à jour le mot de passe. La valeur fournie comme mot de passe actuel est incorrecte.
  • Lorsque vous essayez d’exécuter Dcdiag.exe à partir des outils de Support Windows 2000, vous pouvez recevoir un message d’erreur semblable au suivant :
    A échoué avec 67 : Impossible de trouver le nom de réseau
    Les résultats provenant de Dcdiag.exe peuvent également répertorier des erreurs de liaison LDAP similaires à ce qui suit :
    Échec de la liaison LDAP avec l’erreur 1323.
  • Lorsque vous essayez d’exécuter Netdiag.exe à partir des outils de Support Windows 2000, vous pouvez recevoir un message d’erreur semblable au suivant :

    Test de liste DC........... : Échec de

    Impossible d’énumérer les contrôleurs de domaine à l’aide de l’Explorateur. [NERR_BadTransactConfig]
  • Si vous exécutez une trace réseau lorsque vous essayez de vous connecter à l’ordinateur concerné, vous obtenez des résultats semblables à ce qui suit :

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$
    R session setup & X - DOS Error, (67) BAD_NET_NAME
  • Sur le serveur, le service WINS peut ne pas démarre ou la console WINS peut afficher une croix rouge ou les deux.
  • Des événements 4311 NetBT semblables au suivant peuvent être enregistrés dans l’Observateur d’événements :

  • La console de gestion de licences Terminal Server peut ne pas démarre et un message d’erreur semblable au suivant peut s’afficher :

    • Aucun serveur de licences des Services Terminal Server n’est disponible dans le domaine actuel ou d’un groupe de travail. Pour vous connecter à un autre serveur de licences, cliquez sur la licence, cliquez sur se connecter, puis cliquez sur le nom du serveur.

    • L’adresse réseau n’est pas valide
  • Les services pour Macintosh peuvent ne pas démarreront. Lorsque vous essayez de démarrer le service, les événements qui sont semblables aux suivants peuvent être enregistrés dans l’Observateur d’événements :

Cause


Ces problèmes peuvent se produire après qu’un programme malveillant supprime les partages administratifs sur un ordinateur qui exécute Windows Server 2003, Windows XP, Windows 2000 ou Windows NT 4.0.



Souvent, les utilisateurs malveillants de se connecter à ces partages administratifs en tirant parti des mots de passe faibles, mises à jour de sécurité manquantes, exposition directe de l’ordinateur à Internet, ou une combinaison de ces facteurs. Les utilisateurs malveillants installent ensuite des programmes malveillants pour accroître leur influence sur l’ordinateur et sur le reste du réseau informatique. Dans de nombreux cas, ces programmes malveillants suppriment les partages administratifs en tant qu’afin d’empêcher d’autres utilisateurs malveillants concurrents de prendre le contrôle des systèmes infectés.



Infection par un de ces programmes malveillants peut provenir directement à partir d’Internet ou d’un autre ordinateur sur le réseau local infecté. Cela indique généralement que la sécurité du réseau est faible. Par conséquent, si vous voyez ces symptômes, nous vous recommandons d’examiner tous les autres ordinateurs sur le réseau pour les programmes malveillants à l’aide des outils de détection contre les logiciels espions et les logiciels antivirus. Nous vous recommandons également d’effectuer une analyse de sécurité pour identifier les failles du réseau. Consultez la section « Résolution » pour savoir comment détecter les programmes malveillants et comment analyser la sécurité du réseau.



Win32.Agobot est un exemple d’un programme malveillant qui cible les partages administratifs. Pour obtenir des détails techniques sur le fonctionne de ce programme, visitez le site d’ordinateur Associates Virus Information Center Web suivant :

Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.
Remarque Le programme Win32.Agobot n’est qu’un exemple. Les programmes malveillants deviennent obsolètes, comme des fournisseurs de logiciels antivirus les découvrent et les ajouter aux définitions de virus. Toutefois, les utilisateurs malveillants développent souvent de nouveaux programmes et nouvelles variantes pour éviter la détection par les logiciels antivirus.

Résolution


Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Pour vérifier si un ordinateur est affecté par ce problème, procédez comme suit :
  1. Examinez les valeurs de Registre AutoShareServer et AutoShareWks afin de vous assurer qu’ils ne sont pas définies à 0 :

    1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis appuyez sur ENTRÉE.
    2. Recherchez et cliquez sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Si les valeurs AutoShareServer et AutoShareWks DWORD dans la sous-clé LanmanServer\Parameters sont configurés avec la valeur 0, modifiez cette valeur à 1.



      Remarque Si ces valeurs n’existent pas, vous n’êtes pas obligé de les créer car le comportement par défaut consiste à créer automatiquement des partages administratifs.

    4. Quittez l’Éditeur du Registre.

  2. Redémarrez l'ordinateur. En général, les ordinateurs qui exécutent Windows Server 2003, Windows XP, Windows 2000 ou Windows NT 4.0 automatiquement créent les partages administratifs lors du démarrage.

  3. Après le redémarrage de l’ordinateur, vérifiez que les partages administratifs sont actifs. Pour examiner les partages, utilisez la commande net share . Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, sur exécuter, tapez cmd et appuyez sur ENTRÉE.
    2. À l’invite de commandes, tapez net shareet appuyez sur ENTRÉE.
    3. Recherchez le Admin$, C$ et IPC$ des partages administratifs dans la liste des partages.
Si les partages administratifs n’apparaissent pas, l’ordinateur peut exécuter un programme malveillant qui supprime les partages au cours du démarrage. Pour rechercher des programmes malveillants, procédez comme suit :
  1. Les dernières définitions de virus permet d’exécuter une analyse antivirus complète sur l’ordinateur. Vous pouvez utiliser votre logiciel antivirus ou utiliser l’une de plusieurs services gratuits antivirus disponibles sur Internet. Consultez la section « Plus informations » pour des liens vers les mises à jour des définitions de virus et antivirus en ligne gratuits à partir des fournisseurs de logiciels antivirus.



    Important Si vous pensez qu’un ordinateur est infecté par du code malveillant, nous vous recommandons de le supprimer du réseau dès que possible. Nous le recommandons parce qu’un utilisateur malveillant peut utiliser l’ordinateur infecté pour lancer des attaques par déni de Service distribué (DDoS), pour envoyer du courrier électronique non sollicité ou pour partager des copies illégales de logiciels, de musique et de films.

  2. Si l’analyse antivirus détecte un programme malveillant sur le système, utilisez les instructions de suppression du fournisseur de logiciel antivirus. De plus, passez en revue l’évaluation de la menace et les détails techniques à propos du programme sur le site Web du fournisseur de votre antivirus. En particulier, vérifiez si le programme inclut la fonctionnalité de type « backdoor ». Cela signifie que le programme permet à l’utilisateur malveillant de reprendre le contrôle du système si le programme est détecté et supprimé.



    Si les détails techniques sur le programme indiquent qu’il a dérobée, nous vous recommandons de formater le disque dur et de réinstaller Windows. Pour plus d’informations sur l’amélioration de la sécurité des serveurs et des ordinateurs basés sur Windows, visitez le site Web de centre de conseils de sécurité Microsoft suivant :
  3. Si l’analyse antivirus n’identifie pas un programme malveillant sur le système, cela ne signifie pas que l’ordinateur n’est pas infecté par un programme malveillant. Plus probablement, cela peut signifier que le programme malveillant est un nouveau programme ou une variante et que les dernières définitions de virus ne le détectent pas. Dans ce cas, contactez le fournisseur de logiciel antivirus pour signaler le problème, ou ouvrez un incident de support avec Microsoft Services (support technique) à rechercher.



  4. Après avoir terminé l’analyse antivirus, examinez l’ordinateur pour d’autres programmes malveillants, comme les logiciels espions ou des outils de l’utilisateur malveillant. Consultez la section « Plus informations » pour des liens vers les logiciels espions et les outils de détection utilisateur malveillant.

  5. Vérifiez tous les autres ordinateurs sur le réseau pour les programmes malveillants et effectuer une analyse de sécurité pour identifier les failles du réseau. Pour analyser la sécurité du réseau, nous vous recommandons d’utiliser l’outil de la version 1.2.1 de Microsoft Baseline Security Analyzer. Pour plus d’informations sur cet outil, visitez le site Web Microsoft Baseline Security Analyzer suivante :

Plus d'informations


Pour obtenir des informations techniques sur la façon de sécuriser votre réseau, visitez le site Web de sécurité Microsoft TechNet suivant :

Pour obtenir des mises à jour des définitions de virus à partir des fournisseurs de logiciels antivirus, reportez-vous à l’un des sites Web tiers suivants :

Pour obtenir une analyse en ligne gratuite à partir d’un fournisseur de logiciels antivirus, reportez-vous à l’un des sites Web tiers suivants :Pour obtenir les logiciels espions et les outils de détection d’utilisateurs malveillants, reportez-vous à l’un des sites Web tiers suivants :Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.