|
В брандмауэре входящие правила для SMB отключены, но по факту подключения есть
Доброе время суток. Windows Server 2012R2, пока без антивируса. В Брандмауэре все правила, связанные с входящими подключениями по SMB, отключены:
Общий доступ к файлам и принтерам ( все ее разновидности) Магазин Общий доступ к файлам и принтерам через SMBDirect (входящий трафик iWARP Удаленное управление файловым сервером (SMB — входящий трафик) Управление DFS (входящий трафик SMB) При этом, все равно, если судить по событиям SMBServer\Security, входящие подключения есть: SMBServer
Имя журнала: Microsoft-Windows-SMBServer/Security Источник: Microsoft-Windows-SMBServer Дата: 10.12.2019 11:44:12 Код события: 551 Категория задачи:(551) Уровень: Ошибка Ключевые слова:Аудит отказа,(8) Пользователь: СИСТЕМА Компьютер: server1ckv.ks2.local Описание: Сбой проверки подлинности сеанса SMB Имя клиента: \\182.150.43.246 Адрес клиента: 182.150.43.246:50646 Имя пользователя: ИД сеанса: 0xFFFFFFFFFFFFFFFF Состояние: Такой запрос не поддерживается. (0xC00000BB) Инструкция: эта ошибка появляется в том случае, если производится попытка подключения к общим ресурсам с некорректными учетными данными. Данная ошибка главным образом говорит о проблемах проверки подлинности, а не авторизации. Наиболее часто она возникает на клиентах, не использующих Windows. Эта ошибка может возникнуть при использовании неправильных имени пользователя и пароля с NTLM, несовпадающих параметров LmCompatibility сервера и клиента, дублированных имен субъекта-службы Kerberos, неправильных билетов службы предоставления билетов Kerberos или гостевых учетных записей при отключенном гостевом доступе Xml события: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-SMBServer" Guid="{D48CE617-33A2-4BC3-A5C7-11AA4F29619E}" /> <EventID>551</EventID> <Version>1</Version> <Level>2</Level> <Task>551</Task> <Opcode>0</Opcode> <Keywords>0x810000000000008</Keywords> <TimeCreated SystemTime="2019-12-10T05:44:12.801432900Z" /> <EventRecordID>1271633</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="25252" /> <Channel>Microsoft-Windows-SMBServer/Security</Channel> <Computer>server1ckv.ks2.local</Computer> <Security UserID="S-1-5-18" /> </System> <UserData> <EventData xmlns="Smb2Namespace"> <SessionGUID>{D63DBCFD-9DBA-0000-9785-AED6BA9DD501}</SessionGUID> <ConnectionGUID>{D63DBCFD-9DBA-0004-BC87-53D6BA9DD501}</ConnectionGUID> <Status>0xc00000bb</Status> <TranslatedStatus>0xc00000bb</TranslatedStatus> <ClientAddressLength>128</ClientAddressLength> <ClientAddress>0200C5D6B6962BF600000000000000000000FFFFB6962BF60000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000</ClientAddress> <SessionId>0xffffffffffffffff</SessionId> <UserNameLength>0</UserNameLength> <UserName> </UserName> <ClientNameLength>16</ClientNameLength> <ClientName>\\182.150.43.246</ClientName> </EventData> </UserData> </Event> - Какое еще разрешающее правило может влиять на входящие подключения ? PFirewall.log просто пишет факт подключения, но не пишет какое правило это подключение разрешило. |
__sa__nya,
А вы не отключайте правило, а создайте запрещающее на 445 порт и всё. P.S. Виндовый фаервол это вещь в себе, поэтому я бы рекомендовал все проверки перепроверять в утилите типа Process Hacker. |
Anton04, я понимаю что так можно, но мне интересно почему он пропускает, как выявить разрешающее правило, кроме "метода тыка".
|
Цитата:
Цитата:
Всё. |
| Время: 07:19. |
Время: 07:19.
© OSzone.net 2001-