Le partage SMB n’est pas accessible lorsque le port TCP 445 est à l’écoute dans Windows Server
Cet article fournit une solution à un problème où vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block), même lorsque la ressource partagée est activée dans le serveur Windows Server cible.
S’applique à : Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Numéro de la base de connaissances d’origine : 4471134
Symptômes
Vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block) même lorsque la ressource partagée est activée sur le serveur Windows Server cible. Lorsque vous exécutez la commande netstat pour afficher les connexions réseau, les résultats indiquent que le port TCP 445 est à l’écoute. Toutefois, les traces réseau montrent que la communication sur le port TCP 445 échoue comme suit :
| Source | Destination | Protocole | Description |
|---|---|---|---|
| Client | SERVER | TCP | TCP :Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Facteur d’échelle de négociation 0x8) = 8192 |
| Client | SERVER | TCP | TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Facteur d’échelle de négociation 0x8) = 8192 |
| Client | SERVER | TCP | TCP :[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (Facteur d’échelle de négociation 0x8) = 8192 |
Une fois que vous avez activé l’audit des événements de modification de stratégie de plateforme de filtrage à l’aide de la commande suivante, vous pouvez rencontrer certains événements (tels que l’ID d’événement 5152) qui indiquent un blocage.
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
Exemple d’ID d’événement 5152 :
| Journal des événements | Source de l’événement | ID d’événement | Texte du message |
|---|---|---|---|
| Sécurité | Microsoft-Windows-Security-Auditing | 5152 | Description : La plateforme de filtrage Windows a bloqué un paquet. Informations sur l’application : ID de processus : 0 Nom de l’application : - Informations réseau : Direction : entrant Adresse source : 192.168.88.50 Port source : 52017 Adresse de destination : 192.168.88.53 Port de destination : 445 Protocole : 6Informations du filtre : ID de Run-Time de filtre : 67017 Nom de la couche : Transport ID de Run-Time de couche : 12 |
Cause
Ce problème se produit parce que le programme malveillant Adylkuzz qui exploite la même vulnérabilité SMBv1 que Wannacrypt ajoute une stratégie IPSec nommée NETBC qui bloque le trafic entrant sur le serveur SMB qui utilise le port TCP 445. Certains outils Adylkuzz-cleanup peuvent supprimer le programme malveillant, mais ne parviennent pas à supprimer la stratégie IPSec. Pour plus d’informations, consultez Win32/Adylkuzz.B.
Résolution
Pour résoudre ce problème, procédez comme suit :
Installez la mise à jour de sécurité MS17-010 appropriée pour le système d’exploitation.
Suivez les étapes sous l’onglet « Que faire maintenant » de Win32/Adylkuzz.B.
Exécutez une analyse à l’aide de Microsoft Security Scanner.
Vérifiez si la stratégie IPSec bloque le port TCP 445 à l’aide des commandes suivantes (et consultez les résultats cités pour obtenir des exemples).
netsh ipsec static show policy allPolicy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutesnetsh ipsec static show filterlist all level=verboseFilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445Remarque
Lorsque vous exécutez les commandes sur un serveur non infecté, il n’existe aucune stratégie.
Si la stratégie IPSec existe, supprimez-la à l’aide de l’une des méthodes suivantes.
Exécutez la commande suivante :
netsh ipsec static delete policy name=netbcUtiliser stratégie de groupe Rédacteur (GPEdit.msc) :
Local stratégie de groupe Rédacteur/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Sécurité IPSec
Informations supplémentaires
Depuis octobre 2016, Microsoft utilise un nouveau modèle de maintenance pour les versions prises en charge des mises à jour de Windows Server. Ce nouveau modèle de maintenance pour la distribution des mises à jour simplifie la façon dont les problèmes de sécurité et de fiabilité sont traités. Microsoft recommande de maintenir vos systèmes à jour pour s’assurer qu’ils sont protégés et que les derniers correctifs sont appliqués.
Cette menace peut exécuter les commandes suivantes :
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
Il peut également ajouter des règles de pare-feu pour autoriser les connexions à l’aide des commandes suivantes :
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour