evevnt 的主体是:“**共享拒绝客户端的匿名访问。客户端名称:\10.139.70.35 客户端地址:10.139.70.35:49157 共享名称:\*\in 共享路径:??\C:\Users\jodat\Desktop\in 来源:SMBServer 任务类别:(1007) 关键字:审核失败,审核失败 用户:SYSTEM 计算机:kaj.smbmm.ir 频道 Microsoft-Windows-SMBServer/Security
- 安全 [用户 ID] S-1-5-18 SharePath ??\C:\Users\jodat\Desktop\in ClientName \10.139.70.35** “
- 这是否意味着:客户端 10.139.70.35 想要访问服务器 kaj.smbmm.ir 上属于用户 jodat 的文件夹 C:\Users\jodat\Desktop\in,但是没有成功?
- filder“in”是共享文件夹吗?
- 客户端想要通过什么方式访问该文件夹?
- 访问期间用户 jodat 是否登录?
- 那么用户 SYSTEM 又如何呢?他是谁?是 jodat 吗?
- 为什么UserID是S-1-5-18?
问候阿里
答案1
是的。不过,我不会在互联网上发布内部主机名和用户。事件并不一定表明共享属于“jodat”,但根据文件夹路径可以推断。
是的,股票名称应该是“in”
客户端尝试通过 SMB 访问文件夹,例如“net use”、explorer(“运行”)或以其他方式映射驱动器。
不知道,仅从 1007 事件你不会知道这一点。
& 6. S-1-5-18 是 Windows 内置的“SYSTEM”帐户的 SID。从技术上讲,它是记录事件的用户。在这种情况下,它并不真正相关,可以忽略。