Доброе время суток. Windows Server 2012R2, пока без антивируса. В Брандмауэре все правила, связанные с входящими подключениями по SMB, отключены:

Общий доступ к файлам и принтерам ( все ее разновидности)
Магазин
Общий доступ к файлам и принтерам через SMBDirect (входящий трафик iWARP
Удаленное управление файловым сервером (SMB — входящий трафик)
Управление DFS (входящий трафик SMB)

При этом, все равно, если судить по событиям SMBServer\Security, входящие подключения есть:


Имя журнала: Microsoft-Windows-SMBServer/Security
Источник: Microsoft-Windows-SMBServer
Дата: 10.12.2019 11:44:12
Код события: 551
Категория задачи:(551)
Уровень: Ошибка
Ключевые слова:Аудит отказа,(8)
Пользователь: СИСТЕМА
Компьютер: server1ckv.ks2.local
Описание:
Сбой проверки подлинности сеанса SMB

Имя клиента: \\182.150.43.246
Адрес клиента: 182.150.43.246:50646
Имя пользователя:
ИД сеанса: 0xFFFFFFFFFFFFFFFF
Состояние: Такой запрос не поддерживается. (0xC00000BB)

Инструкция:

эта ошибка появляется в том случае, если производится попытка подключения к общим ресурсам с некорректными учетными данными.

Данная ошибка главным образом говорит о проблемах проверки подлинности, а не авторизации. Наиболее часто она возникает на клиентах, не использующих Windows.

Эта ошибка может возникнуть при использовании неправильных имени пользователя и пароля с NTLM, несовпадающих параметров LmCompatibility сервера и клиента, дублированных имен субъекта-службы Kerberos, неправильных билетов службы предоставления билетов Kerberos или гостевых учетных записей при отключенном гостевом доступе
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-SMBServer" Guid="{D48CE617-33A2-4BC3-A5C7-11AA4F29619E}" />
<EventID>551</EventID>
<Version>1</Version>
<Level>2</Level>
<Task>551</Task>
<Opcode>0</Opcode>
<Keywords>0x810000000000008</Keywords>
<TimeCreated SystemTime="2019-12-10T05:44:12.801432900Z" />
<EventRecordID>1271633</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="25252" />
<Channel>Microsoft-Windows-SMBServer/Security</Channel>
<Computer>server1ckv.ks2.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<EventData xmlns="Smb2Namespace">
<SessionGUID>{D63DBCFD-9DBA-0000-9785-AED6BA9DD501}</SessionGUID>
<ConnectionGUID>{D63DBCFD-9DBA-0004-BC87-53D6BA9DD501}</ConnectionGUID>
<Status>0xc00000bb</Status>
<TranslatedStatus>0xc00000bb</TranslatedStatus>
<ClientAddressLength>128</ClientAddressLength>
<ClientAddress>0200C5D6B6962BF600000000000000000000FFFFB6962BF60000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000</ClientAddress>
<SessionId>0xffffffffffffffff</SessionId>
<UserNameLength>0</UserNameLength>
<UserName>
</UserName>
<ClientNameLength>16</ClientNameLength>
<ClientName>\\182.150.43.246</ClientName>
</EventData>
</UserData>
</Event>

- Какое еще разрешающее правило может влиять на входящие подключения ? PFirewall.log просто пишет факт подключения, но не пишет какое правило это подключение разрешило.

__sa__nya,

А вы не отключайте правило, а создайте запрещающее на 445 порт и всё.

P.S. Виндовый фаервол это вещь в себе, поэтому я бы рекомендовал все проверки перепроверять в утилите типа Process Hacker (https://processhacker.sourceforge.io/).

Anton04, я понимаю что так можно, но мне интересно почему он пропускает, как выявить разрешающее правило, кроме "метода тыка".

но мне интересно почему он пропускает »

Потому что есть разрешающее правило.

как выявить разрешающее правило, кроме "метода тыка". »

Сбросить настройки фаервола по умолчанию (https://remontka.pro/reset-settings-windows-firewall/). Выставить тип сети "Частная сеть". Отсортировать список входящих правил по локальному порту. Найти все правила где параметр "локальный порт" будет равен 445.

Всё.