Como determinar se um cliente SMB estabeleceu uma comunicação assinada SMB do meu Windows Server 2012?

Navegue suas respostas
4

Existe uma maneira de encontrar no meu Windows 2012 Server se o cliente estabeleceu um comunicação assinada ?

Sessão de Rede fornece os detalhes básicos, mas não diz nada sobre assinatura. 

C:\>net session \a.b.c.d
User name       Administrator
Computer        a.b.c.d
Guest logon     No
Client type
Sess time       00:08:02
Idle time       00:07:50

Share name     Type     # Opens

--------------------------------------
test           Disk     0
The command completed successfully.

Existe algum cmdlet Powershell ou qualquer ferramenta administrativa ou comando que forneça essas informações? ? Agradecemos antecipadamente.

Editar 1: Eu também tentei o seguinte. Get-SmbConnection deve ser executado no cliente para localizar os servidores para os quais o cliente estabeleceu conexões . 

PS C:\Users\Administrator> Get-SmbConnection | Select-Object -Property *
ContinuouslyAvailable : False
Credential            : domain\administrator
Dialect               : 3.00
Encrypted             : False
NumOpens              : 3
ServerName            : server1
ShareName             : test
UserName              : SERVER1\Administrator
PSComputerName        :
CimClass              : ROOT/Microsoft/Windows/SMB:MSFT_SmbConnection
CimInstanceProperties : {ContinuouslyAvailable, Credential, Dialect, Encrypted...}
CimSystemProperties   : Microsoft.Management.Infrastructure.CimSystemProperties
    
por pragadheesh 04.04.2015 / 02:25

1 resposta

3

No momento em que este texto foi escrito, a única maneira de realmente ter certeza disso é observar a conexão de rede conforme ela está sendo negociada através do Wireshark ou do Network Monitor.

Neste momento, nada expõe esses dados por meio de uma API, classe WMI, etc.

O cmdlet Get-SMBConnection do Powershell fornecerá essas informações no futuro, mas não no dia de hoje.

O cmdlet é simplesmente um wrapper em torno da classe MSFT_SmbConnection WMI. 

Get-WmiObject -Namespace 'Root\Microsoft\Windows\SMB' MSFT_SmbConnection

Retorna a mesma informação exata. Se você for ler a documentação do MSDN para essa classe WMI, Verá que a documentação lista uma propriedade Signed além da propriedade Encrypted que você vê hoje. 

class MSFT_SmbConnection
{
  string  ServerName;
  string  ShareName;
  string  UserName;
  uint32  SmbInstance;
  string  Credential;
  uint64  NumOpens;
  string  Dialect;
  boolean ContinuouslyAvailable;
  boolean Encrypted;
  boolean EnableLoadBalanceScaleOut;
  boolean Signed;  // ^_^ *trollface*
};

A documentação continua dizendo:

Signed

Data type: Boolean

Access type: Read-only

TBD. (To be determined)

Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8: This property is not supported before Windows Server Technical Preview and Windows 10 Technical Preview.

A pré-visualização do Windows 10 é exibida pela primeira vez. Então você tem isso.

    
por 04.04.2015 / 20:01

Tags

É possível explorar uma vulnerabilidade de injeção de SQL com uma permissão somente de seleção, se eu soubesse de credenciais de administrador? [fechadas] Use o script para editar a diretiva de grupo local do Windows Server 2012