我想弄清楚如何使用网络共享访问来审核 Windows 上的文件访问。
我有两台运行 Windows 8 且未加入 Active Directory 域的计算机。计算机 1 与 Everyone 共享了一个文件夹。计算机 2 从共享文件夹中复制计算机 1 的文件。
问题:我原本期望在计算机 1 上看到 IO 读取事件(使用进程监控),但这种情况并没有发生。我知道我可以通过以下方式获取 IO 元数据:文件访问监控但是,这似乎效率低下,而且很难与我从微过滤器文件系统驱动程序收到的数据进行聚合(想想 procmon 文件读取)
问题:
- 计算机 1 和 2 使用什么协议通过网络共享访问文件?
- 当计算机 2 访问其共享文件夹时,为什么 procmon 看不到计算机 1 上的 IO 事件?
答案1
计算机 1 和 2 使用什么协议通过网络共享访问文件?
Windows 文件共享协议称为 SMB,以前是“服务器消息块”的缩写。它可能在“NetBIOS 会话”层(TCP 端口 139)上运行,但更常用的是原始 TCP(端口 445)。
(版本 1 也经常被称为“CIFS”,尽管据我所知,标准定义的 CIFS 与 Windows SMBv1 并不 100% 相同。)
在 Windows 上,SMB 服务器作为LanmanServer服务运行,位于进程管理器过程。(我不太确定,但我思考其中一部分也可能是内核驱动程序,由于在 ProcMon 监视的级别上没有进行任何系统调用,因此它不会显示在 ProcMon 中。)