Le partage SMB n'est pas accessible lorsque le port TCP 445 est à l'écoute dans Windows Server

Support Topic: Windows Servers/Windows Server 2016/Windows Server 2016 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2016/Windows Server 2016 Essentials/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2016/Windows Server 2016 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 R2 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2012/Windows Server 2012 R2 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Enterprise/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Service Pack 1/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 R2 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Datacenter/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Datacenter without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Enterprise/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Enterprise without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Service Pack 2/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Standard/Network Connectivity and File Sharing/Access to file shares (SMB)

Windows Servers/Windows Server 2008/Windows Server 2008 Standard without Hyper-V/Network Connectivity and File Sharing/Access to file shares (SMB)

Symptômes

Vous ne pouvez pas accéder à une ressource partagée SMB (Server Message Block) même si la ressource partagée est activée sur le serveur Windows cible. Lorsque vous exécutez la commande netstat pour afficher les connexions réseau, les résultats indiquent que le port TCP 445 est en écoute. Cependant, les traces réseau montrent que la communication sur le port TCP 445 échoue comme suit :

Source

Destination

Protocole

Description

Client

SERVER

TCP

TCP:Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 ( Negotiating scale factor 0x8 ) = 8192

Client

SERVER

TCP

TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 ( Facteur d'échelle de négociation 0x8 ) = 8192

Client

SERVER

TCP

TCP:[SynReTransmit #600]Flags=...... S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 ( Facteur d'échelle de négociation 0x8 ) = 8192


Après avoir activé l'audit des événements de changement de stratégie de plate-forme de filtrage en utilisant la commande suivante, vous pouvez rencontrer certains événements (tels que l'ID d'événement 5152) qui indiquent le blocage.

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

Exemple d'ID d'événement 5152 :

Journal des événements

Source de l’événement

ID d’événement

Texte du message

Sécurité

Microsoft-Windows-Security-Auditing

5152

Description :
La plate-forme de filtrage Windows a bloqué un paquet.

Informations sur l'application :
ID processus : 0
Nom de l'application : -
Informations sur le réseau :
Sens : Entrant
Adresse source : 192.168.88.50
Port source : 52017
Adresse de destination : 192.168.88.53
Port de destination : 445
Protocole : 6

Informations sur le filtre :
ID de filtre d'exécution : 67017
Nom de la couche : Transport
ID d'exécution de couche : 12

Cause

Ce problème se produit parce que le malware Adylkuzz qui tire parti de la même vulnérabilité SMBv1 que Wannacrypt ajoute une stratégie IPSec nommée NETBC qui bloque le trafic entrant sur le serveur SMB qui utilise le port TCP 445. Certains outils de nettoyage Adylkuzz peuvent supprimer le malware, mais ne parviennent pas à supprimer la stratégie IPSec. Pour plus de détails, voir Win32/Adylkuzz.B.

Résolution

Pour résoudre ce problème, procédez comme suit :

  1. Installez la version de mise à jour de sécurité MS17-010 adaptée au système d'exploitation.

  2. Suivez les étapes sur l'onglet « Que faire maintenant » de Win32/Adylkuzz.B.

  3. Exécutez un scan à l'aide du scanner de sécurité Microsoft.

  4. Vérifiez si la stratégie IPSec bloque le port TCP 445 en utilisant les commandes suivantes (et consultez les résultats cités pour des exemples).

    netsh ipsec static show policy all

    Nom de la stratégie : netbc
    Description : AUCUN
    Dernière modification : 24/05/2017 04:33:45
    Affecté : OUI
    Master PFS: NON
    Fréquence d'interrogation : 180 minute

    netsh ipsec static show filterlist all level=verbose

    FilterList Name: block
    Description : AUCUN
    Store: Local Store <WIN>
    Dernière modification : 24/05/2017 04:32:18
    GUID : {ID}
    Nombre de filtres : 1
    Filtre(s)
    ---------
    Description : 445
    Mirrored: OUI
    Adresse IP source : <adresse_IP>
    Source Mask: 0.0.0.0
    Source DNS Name: <adresse_IP>
    Destination IP Address: <adresse_IP>
    Destination DNS Name: <adresse_IP>
    Protocole : TCP
    Port source : ANY
    Destination Port : 445

    Remarque Lorsquevous exécutez les commandes sur un serveur non infecté, il n'y a pas de stratégie.

  5. Si la stratégie IPSec existe, supprimez-la en appliquant l'une des méthodes suivantes :

    • Exécutez la commande suivante :

      netsh ipsec static delete policy name=netbc

    • Group Policy Editor (GPEdit.msc):

      Éditeur de politique de groupe local/configuration d'ordinateur/Paramètres de Windows/Paramètres de sécurité/Sécurité IPSec

Informations supplémentaires

Depuis octobre 2016, Microsoft utilise un nouveau modèle de service pour les versions prises en charge des mises à jour Windows Server. Ce nouveau modèle de service pour la distribution des mises à jour simplifie la façon dont les problèmes de sécurité et de fiabilité sont résolus. Microsoft recommande de maintenir vos systèmes à jour pour s'assurer qu'ils sont protégés et que les dernières corrections sont appliquées.

Par exemple, vous pouvez exécuter la commande suivante :

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

Il peut également ajouter des règles de pare-feu pour permettre les connexions en utilisant ces commandes :

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×