Die Anweisungen von Microsoft zum Konfigurieren der Windows-Ereignisweiterleitung von Ereignisquellcomputern zu einem Ereignissammlerserver, der sich nicht in derselben Domäne wie die Quellen befindet, scheinen aus Sicherheitsgründen äußerst problematisch (https://docs.microsoft.com/en-us/windows/win32/wec/Einrichten einer durch die Quelle initiierten Subskription#Einrichten einer durch die Quelle initiierten Subskription, bei der sich die Ereignisquellen nicht in derselben Domäne befinden wie der Ereignissammlercomputer). Die Anweisungen führen Sie durch die Aktivierung der zertifikatsbasierten Authentifizierung für WinRM (Windows Remote Management) auf dem Ereignissammlerserver und ordnen dann die vom Ereignisquellencomputer vorgelegten Clientzertifikate einem „lokalen Administratorkonto“ auf dem Ereignissammlerserver zu. Das erscheint mir unglaublich unsicher und unklug, insbesondere wenn ich versuche, Nicht-Domänen-Hosts in einer DMZ dazu zu bringen, Ereignisse an einen Domänenserver in einem internen Netzwerk zu senden. Ich habe gesehen, wie jemand anderes dies als „Aushändigen eines Root-Logins auf einem Syslog-Server an eine Syslog-Quelle“ beschrieben hat.
Gibt es eine weniger verantwortungslose Möglichkeit, dies einzurichten?
Antwort1
Ich habe diese Anforderung auch gesehen und sie erschien mir aus Sicherheitsgründen absolut lächerlich, da es keinen Grund gibt, dem Administratorkonto einen derart privilegierten Zugriff zu gewähren.
Um dies zu mildern, und anstatt dem „Administrator“-Konto Lesezugriffsberechtigungen für den betreffenden privaten Zertifikatsschlüssel zu erteilen,Ich habe diesen Zugriff einfach dem Konto "Netzwerksystem" gewährt. Und es hat funktioniert!
Ich fand es jedoch ziemlich komplex, eine solche Änderung in einer großen Organisation durchzuführen, und man muss möglicherweise ein Skript dafür erstellen, damit es passiert. Ich hoffe, das hat geholfen ...