SMB delitev ni dosegljiv, ko posluša vrata TCP številka 445 v Windows Server

Velja za: Windows Server 2016 StandardWindows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise

Znaki


Tudi, ko je sredstvo v skupni rabi omogočena na ciljni strežnik Windows nima dostopa do bloka SMB (Server Message) v skupni rabi virov. Ko zaženete ukaz netstat razkazati omrežne povezave, rezultati kažejo, da je poslušanje vrata TCP številka 445. Pa omrežje sledi kažejo, da sporočilo o vrata TCP številka 445 ne takole:

Vir Cilj Protokol Opis
Odjemalec STREŽNIK TCP TCP:Flags =... S., SrcPort = 62535, DstPort=Microsoft-DS(445), PayloadLen = 0, Seq = 4085616235, Ack = 0, Win = 8192 (pogajalske faktor lestvice 0x8) = 8192
Odjemalec STREŽNIK TCP TCP: zastave [SynReTransmit #600] =... S., SrcPort = 62535, DstPort=Microsoft-DS(445), PayloadLen = 0, Seq = 4085616235, Ack = 0, Win = 8192 (pogajalske faktor lestvice 0x8) = 8192
Odjemalec STREŽNIK TCP TCP: zastave [SynReTransmit #600] =... S., SrcPort = 62535, DstPort=Microsoft-DS(445), PayloadLen = 0, Seq = 4085616235, Ack = 0, Win = 8192 (pogajalske faktor lestvice 0x8) = 8192

Ko omogočite nadzor dogodkov filtriranje platformo spremembe politike s tem ukazom, lahko pride do nekaj dogodkov (kot je dogodek ID 5152), ki kažejo blokira.

auditpol enakih /subcategory: "Filtriranje platformo paket Drop" /success:enable /failure:enable

Primer dogodka ID 5152:

Dnevnik dogodkov

Vir dogodka

ID dogodka

Besedilo sporočila

Varnost

Microsoft-Windows-varnostno nadzorovanje

5152

Opis: Filtriranje platformo Windows je blokiral paket.

Informacije o programu: Proces ID: 0 Ime programa:- Omrežju informacij: Smer: vhodno Vir naslov: 192.168.88.50 Pristanišče vir: 52017 Naslov: 192.168.88.53 Ciljna vrata: 445 Protokol: 6

Filter informacije: Filtriranje doživljenjsko ID: 67017 Plast ime: Transport Plast doživljenjsko ID: 12

Razlog


Do te težave pride, ker Adylkuzz malware, ki dopolnjuje ranljivost istega SMBv1 kot Wannacrypt dodaja IPSec pravilnik, ki je imenovan NETBC da bloki dohodnega prometa na SMB strežnikom, ki uporablja vrata TCP številka 445. Nekaj Adylkuzz-čiščenje orodja lahko odstranite malware, vendar ne izbrisati IPSec pravilnik. Za podrobnosti glej Win32/Adylkuzz.B.

Rešitev


Če želite odpraviti težavo, sledite tem korakom:

  1. Namestite varnostne posodobitve MS17-010 različico, ki je primerno za operacijski sistem.
  2. Sledite navodilom na "Kaj na zdaj zavihek" od Win32/Adylkuzz.B.
  3. Prost dostop a skandirati s katerim Microsoft varnost radarska antena.
  4. Preverite, ali IPSec pravilnika blokira vrata TCP številka 445 z using sledeč zapoved (in videli navedena rezultati za primere).

    Netsh ipsec statično Prikaži vse politike

    Ime pravilnika: netbc Opis: nič Zadnja sprememba: 5/24/2017 4:33:45 AM Dodeljeno: ja Master PFS: ne Povpraševalni Interval: 180 minut

    Netsh ipsec statični prikaz seznam_filtrov vse ravni = glej verbosly

    Seznam_filtrov ime: blok Opis: nič Poslovalnica: PE trgovina lokalni < WIN > Zadnja sprememba: 5/24/2017 4:32:18 AM GUID: {ID} ne. filtrov: 1 Filtre --------- Opis: 445 Zrcalo: ja Izvorni IP naslov: < IP naslov > Vir masko: 0.0.0.0 DNS ime vira: < IP naslov > IP naslov: < IP naslov > DNS ime cilja: < IP naslov > Protokol: TCP Pristanišče vir: vse Ciljna vrata: 445

    Opomba Kozaženete ukaze strežniku neokuženih, ni noben pravilnik.

  5. Če IPSec pravilnik, izbrisati z uporabo ene od naslednjih metod.
    • Zaženite ta ukaz:

      Netsh ipsec statično izbrisati ime pravilnika = netbc

    • Skupina zvitost urednik (GPEdit.msc):

      Lokalne skupine politike urednik/računalnik Configuration/Windows nastavitve/varnostne nastavitve/IPSec varnosti

Več informacij


Od oktobra leta 2016, Microsoft je bil z uporabo novih servisiranje model za podprte različice posodobitve Windows Server. Ta novi servisiranje model za distribucijo posodobitev poenostavlja način, da se obravnavajo vprašanja glede varnosti in zanesljivosti. Microsoft priporoča, ohranjanju vaše sisteme posodobljen, se prepričajte, da so zaščitene in so uporabljene najnovejše popravke.

Te grožnje lahko zaženite te ukaze:

Netsh ipsec statično dodati ime pravilnika = netbcNetsh ipsec statično dodajte ime seznam_filtrov = blokNetsh ipsec statično dodajte ime filteraction = blok dejanje = blokNetsh ipsec statično dodati filtra seznam_filtrov = blokira vse srcmask = 32 srcport = 0 dstaddr = me dstport = 445 protokol = tcp opis = 445Netsh ipsec statično dodajte pravilo ime = blok politike = netbc seznam_filtrov = blok filteraction = blokNetsh ipsec statično določajo politične ime = netbc dodeli = y

Dodate lahko tudi pravila požarnega zidu, da dovoli povezave z uporabo te ukaze:

netsh advfirewall firewall dodati pravilo ime = "Krom" dir = v programu = "C:\Program Files (x86)\Google\Chrome\Application\chrome.txt" dejanje = omogočajonetsh advfirewall firewall dodati pravilo ime = "Windriver" dir = v programu = "C:\Program Files (x86) \Hardware" dejanje = omogočajo