WINDOWS Server で TCP ポート 445 がリッスンしている場合、SMB 共有にアクセスできません
この記事では、ターゲット Windows Server で共有リソースが有効になっている場合でも、サーバー メッセージ ブロック (SMB) 共有リソースにアクセスできない問題の解決策について説明します。
適用対象: Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 Service Pack 1
元の KB 番号: 4471134
現象
ターゲット Windows Server で共有リソースが有効になっている場合でも、サーバー メッセージ ブロック (SMB) 共有リソースにアクセスすることはできません。 netstat コマンドを実行してネットワーク接続を表示すると、結果は TCP ポート 445 がリッスンしていることを示します。 ただし、ネットワーク トレースは、TCP ポート 445 での通信が次のように失敗していることを示しています。
ソース | Destination (転送先) | プロトコル | 説明 |
---|---|---|---|
クライアント | SERVER | TCP | TCP:Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192 |
クライアント | SERVER | TCP | TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192 |
クライアント | SERVER | TCP | TCP:[SynReTransmit #600]Flags=......S., SrcPort=62535, DstPort=Microsoft-DS(445), PayloadLen=0, Seq=4085616235, Ack=0, Win=8192 (ネゴシエートスケール係数0x8) = 8192 |
次のコマンドを使用して、フィルター 処理プラットフォーム ポリシー変更イベントの 監査 を有効にすると、ブロックを示すイベント (イベント ID 5152 など) が発生する可能性があります。
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
イベント ID 5152 の例:
イベント ログ | イベント ソース | イベント ID | メッセージ テキスト |
---|---|---|---|
セキュリティ | Microsoft-Windows-Security-Auditing | 5152 | 説明: Windows フィルタリング プラットフォームがパケットをブロックしました。 アプリケーション情報: プロセス ID: 0 アプリケーション名: - ネットワーク情報: 方向: 受信 送信元アドレス: 192.168.88.50 送信元ポート: 52017 宛先アドレス: 192.168.88.53 宛先ポート: 445 プロトコル: 6Filter 情報: フィルター Run-Time ID: 67017 レイヤー名: トランスポート レイヤー Run-Time ID: 12 |
原因
この問題は、Wannacrypt と同じ SMBv1 の脆弱性を利用する Adylkuzz マルウェアが、TCP ポート 445 を使用している SMB サーバー上の受信トラフィックをブロックする NETBC という名前の IPSec ポリシーを追加するためです。 一部の Adylkuzz-cleanup ツールでは、マルウェアを削除できますが、IPSec ポリシーを削除できません。 詳細については、「 Win32/Adylkuzz.B」を参照してください。
解決方法
この問題を解決するには、次の手順を実行します。
オペレーティング システムに適した セキュリティ更新プログラム MS17-010 バージョンをインストールします。
Win32/Adylkuzz.B の [今すぐ実行する操作] タブの手順に従います。
Microsoft セキュリティ スキャナーを使用してスキャンを実行します。
IPSec ポリシーが次のコマンドを使用して TCP ポート 445 をブロックするかどうかを確認します (例については、引用された結果を参照してください)。
netsh ipsec static show policy all
Policy Name: netbc Description: NONE Last Modified: <DateTime> Assigned: YES Master PFS: NO Polling Interval: 180 minutes
netsh ipsec static show filterlist all level=verbose
FilterList Name: block Description: NONE Store: Local Store <WIN> Last Modified: <DateTime> GUID: {ID} No. of Filters: 1 Filter(s) --------- Description: 445 Mirrored: YES Source IP Address: <IP Address> Source Mask: 0.0.0.0 Source DNS Name: <IP Address> Destination IP Address: <IP Address> Destination DNS Name: <IP Address> Protocol: TCP Source Port: ANY Destination Port : 445
注:
非感染サーバーでコマンドを実行する場合、ポリシーはありません。
IPSec ポリシーが存在する場合は、次のいずれかの方法を使用して削除します。
次のコマンドを実行します。
netsh ipsec static delete policy name=netbc
グループ ポリシー エディター (GPEdit.msc) を使用します。
ローカル グループ ポリシー エディター/コンピューターの構成/Windows 設定/セキュリティ設定/IPSec セキュリティ
詳細
2016 年 10 月以降、Microsoft では、サポートされているバージョンの Windows Server 更新プログラムに新しいサービス モデルを使用しています。 更新プログラムを配布するためのこの新しいサービス モデルにより、セキュリティと信頼性の問題に対処する方法が簡略化されます。 Microsoft では、システムが保護され、最新の修正プログラムが適用されていることを確認するために、システムを最新の状態に保つことをお勧めします。
この脅威は、次のコマンドを実行できます。
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
次のコマンドを使用して、接続を許可するファイアウォール規則を追加することもできます。
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files (x86)\Hardware Driver Management\windriver.exe" action=allow
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示