WINDOWS Server で TCP ポート 445 がリッスンしている場合、SMB 共有にアクセスできません

  • [アーティクル]

この記事では、ターゲット Windows Server で共有リソースが有効になっている場合でも、サーバー メッセージ ブロック (SMB) 共有リソースにアクセスできない問題の解決策について説明します。

適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 Service Pack 1
元の KB 番号: 4471134

現象

ターゲット Windows Server で共有リソースが有効になっている場合でも、サーバー メッセージ ブロック (SMB) 共有リソースにアクセスすることはできません。 netstat コマンドを実行してネットワーク接続を表示すると、結果は TCP ポート 445 がリッスンしていることを示します。 ただし、ネットワーク トレースは、TCP ポート 445 での通信が次のように失敗していることを示しています。

ソース Destination (転送先) プロトコル 説明
クライアント SERVER TCP TCP:Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192
クライアント SERVER TCP TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192
クライアント SERVER TCP TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192

次のコマンドを使用して、フィルター 処理プラットフォーム ポリシー変更イベントの 監査 を有効にすると、ブロックを示すイベント (イベント ID 5152 など) が発生する可能性があります。

auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable

イベント ID 5152 の例:

イベント ログ イベント ソース イベント ID メッセージ テキスト
セキュリティ Microsoft-Windows-Security-Auditing 5152 説明:
Windows フィルタリング プラットフォームがパケットをブロックしました。

アプリケーション情報:
プロセス ID: 0
アプリケーション名: -
ネットワーク情報:
方向: 受信
送信元アドレス: 192.168.88.50
送信元ポート: 52017
宛先アドレス: 192.168.88.53
宛先ポート: 445
プロトコル: 6Filter 情報:
フィルター Run-Time ID: 67017
レイヤー名: トランスポート
レイヤー Run-Time ID: 12

原因

この問題は、Wannacrypt と同じ SMBv1 の脆弱性を利用する Adylkuzz マルウェアが、TCP ポート 445 を使用している SMB サーバー上の受信トラフィックをブロックする NETBC という名前の IPSec ポリシーを追加するためです。 一部の Adylkuzz-cleanup ツールでは、マルウェアを削除できますが、IPSec ポリシーを削除できません。 詳細については、「 Win32/Adylkuzz.B」を参照してください。

解決方法

この問題を解決するには、次の手順を実行します。

  1. オペレーティング システムに適した セキュリティ更新プログラム MS17-010 バージョンをインストールします。

  2. Win32/Adylkuzz.B の [今すぐ実行する操作] タブの手順に従います。

  3. Microsoft セキュリティ スキャナーを使用してスキャンを実行します。

  4. IPSec ポリシーが次のコマンドを使用して TCP ポート 445 をブロックするかどうかを確認します (例については、引用された結果を参照してください)。

    netsh ipsec static show policy all

    Policy Name: netbc  
Description: NONE  
Last Modified: <DateTime>  
Assigned: YES  
Master PFS: NO  
Polling Interval: 180 minutes

    netsh ipsec static show filterlist all level=verbose

    FilterList Name: block  
Description: NONE  
Store: Local Store <WIN>  
Last Modified: <DateTime>  
GUID: {ID}  
No. of Filters: 1  
Filter(s)  
---------  
Description: 445  
Mirrored: YES  
Source IP Address: <IP Address>  
Source Mask: 0.0.0.0  
Source DNS Name: <IP Address>  
Destination IP Address: <IP Address>  
Destination DNS Name: <IP Address>  
Protocol: TCP  
Source Port: ANY  
Destination Port : 445

    注:

    非感染サーバーでコマンドを実行する場合、ポリシーはありません。

  5. IPSec ポリシーが存在する場合は、次のいずれかの方法を使用して削除します。

    • 次のコマンドを実行します。

      netsh ipsec static delete policy name=netbc

    • グループ ポリシー エディター (GPEdit.msc) を使用します。

      ローカル グループ ポリシー エディター/コンピューターの構成/Windows 設定/セキュリティ設定/IPSec セキュリティ

詳細

2016 年 10 月以降、Microsoft では、サポートされているバージョンの Windows Server 更新プログラムに新しいサービス モデルを使用しています。 更新プログラムを配布するためのこの新しいサービス モデルにより、セキュリティと信頼性の問題に対処する方法が簡略化されます。 Microsoft では、システムが保護され、最新の修正プログラムが適用されていることを確認するために、システムを最新の状態に保つことをお勧めします。

この脅威は、次のコマンドを実行できます。

netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y

次のコマンドを使用して、接続を許可するファイアウォール規則を追加することもできます。

netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow