6 votes

oleksii avatar

Quels sont les protocoles utilisés pour l'accès au partage du réseau ?

Demandé el 7 de Juillet, 2017
Quand la question a-t-elle été
26340 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux savoir comment auditer l'accès aux fichiers sous Windows en utilisant l'accès au partage réseau.

J'ai deux ordinateurs qui fonctionnent sous Windows 8 et qui ne sont pas joints à un domaine Active Directory. L'ordinateur 1 a partagé un dossier avec Everyone. L'ordinateur 2 copie les fichiers de l'ordinateur 1 à partir du dossier partagé.

enter image description here

Problème : Je me serais attendu à voir des événements de lecture IO sur l'ordinateur 1 (utilisant procmon ) mais cela ne se produit pas. Je sais que je peux obtenir les métadonnées IO en tournant le bouton surveillance de l'accès aux fichiers Cependant, cela semble inefficace et difficile à agréger avec les données que je reçois d'un pilote de système de fichiers minifiltre (pensez aux lectures de fichiers procmon).

Questions :

  • Quels protocoles sont utilisés sur les ordinateurs 1 et 2 pour accéder aux fichiers via les partages réseau ?
  • Pourquoi procmon ne voit-il pas les événements IO sur l'ordinateur 1, lorsque l'ordinateur 2 accède à son dossier partagé ?
Demandé el 7 de Juillet, 2017 par oleksii

Réponse

Trop de publicités?

12voto

James Mertz avatar
James Mertz Points 390

Quels protocoles sont utilisés sur les ordinateurs 1 et 2 pour accéder aux fichiers via les partages réseau ?

Le protocole de partage de fichiers de Windows est appelé SMB, autrefois abréviation de "Server Message Block". Il peut fonctionner sur une couche "Session NetBIOS" (port TCP 139), mais il est plus souvent utilisé sur le TCP brut (port 445).

(La version 1 était aussi souvent appelée "CIFS", bien qu'à ma connaissance, le CIFS défini par les normes ne soit pas 100% identique au SMBv1 de Windows).

Sous Windows, le serveur SMB s'exécute sous le nom de LanmanServer à l'intérieur de l'un des svchost.exe processus. (Je ne suis pas tout à fait sûr, mais je pensez à Une partie pourrait également être un pilote de noyau, qui n'apparaîtrait pas dans ProcMon car il n'effectue aucun appel système au niveau où ProcMon les surveille).

Répondu el 7 de Juillet, 2017 par James Mertz (390 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X