|
Il n'existe pas un seul index de proposition qui identifie définitivement un système Windows lors de la négociation SMB (Server Message Block). Windows utilise une variété de dialectes et de fonctionnalités dans le processus de négociation, et les indices spécifiques et leurs valeurs varient en fonction de la version et de la configuration de Windows.
Au lieu d'un index unique, l'identification d'un système Windows repose sur l'examen de plusieurs aspects du processus de négociation SMB, notamment :
* Négociation dialectale : Windows proposera des dialectes SMB spécifiques (par exemple, SMB 2.x, SMB 3.x). Voir ces dialectes dans la liste de propositions suggère fortement un système Windows, bien que d'autres systèmes d'exploitation puissent également les prendre en charge.
* Capacités : Le processus de négociation implique l'échange de drapeaux de capacité. Certaines combinaisons de fonctionnalités sont plus caractéristiques des systèmes Windows.
* Mécanismes de sécurité : Le choix des mécanismes de sécurité (par exemple NTLM, Kerberos) lors de la négociation peut fournir des indices, même si ceux-ci ne sont pas exclusifs à Windows.
En résumé, vous devez analyser l’intégralité de l’échange de négociation SMB, et pas seulement un seul index, pour déterminer en toute confiance si le système est Windows. L’analyse conjointe des dialectes et des capacités proposés donne une bien meilleure indication que n’importe quel indice unique. Les outils qui capturent et analysent le trafic réseau des PME (comme Wireshark) sont essentiels pour ce type d'identification.
|
