事件 1007:共享拒绝客户端的匿名访问

事件 1007:共享拒绝客户端的匿名访问

evevnt 的主体是:“**共享拒绝客户端的匿名访问。客户端名称:\10.139.70.35 客户端地址:10.139.70.35:49157 共享名称:\*\in 共享路径:??\C:\Users\jodat\Desktop\in 来源:SMBServer 任务类别:(1007) 关键字:审核失败,审核失败 用户:SYSTEM 计算机:kaj.smbmm.ir 频道 Microsoft-Windows-SMBServer/Security

  • 安全 [用户 ID] S-1-5-18 SharePath ??\C:\Users\jodat\Desktop\in ClientName \10.139.70.35** “
  1. 这是否意味着:客户端 10.139.70.35 想要访问服务器 kaj.smbmm.ir 上属于用户 jodat 的文件夹 C:\Users\jodat\Desktop\in,但是没有成功?
  2. filder“in”是共享文件夹吗?
  3. 客户端想要通过什么方式访问该文件夹?
  4. 访问期间用户 jodat 是否登录?
  5. 那么用户 SYSTEM 又如何呢?他是谁?是 jodat 吗?
  6. 为什么UserID是S-1-5-18?

问候阿里

答案1

  1. 是的。不过,我不会在互联网上发布内部主机名和用户。事件并不一定表明共享属于“jodat”,但根据文件夹路径可以推断。

  2. 是的,股票名称应该是“in”

  3. 客户端尝试通过 SMB 访问文件夹,例如“net use”、explorer(“运行”)或以其他方式映射驱动器。

  4. 不知道,仅从 1007 事件你不会知道这一点。

  5. & 6. S-1-5-18 是 Windows 内置的“SYSTEM”帐户的 SID。从技术上讲,它是记录事件的用户。在这种情况下,它并不真正相关,可以忽略。

相关内容