Las instrucciones de Microsoft para configurar el reenvío de eventos de Windows desde computadoras de origen de eventos a un servidor recopilador de eventos que no está en el mismo dominio que las fuentes parecen tremendamente problemáticas desde el punto de vista de la seguridad (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- las fuentes-no-están-en-el-mismo-dominio-que-la-computadora-recolectora-de-eventos). Las instrucciones lo guiarán a través de cómo habilitar la autenticación basada en certificados para WinRM (Administración remota de Windows) en el servidor del recopilador de eventos y luego asignar los certificados de cliente presentados por la computadora de origen del evento a una "cuenta de administrador local" en el servidor del recopilador de eventos. Esto me parece ridículamente inseguro e imprudente, especialmente cuando lo que intento hacer es conseguir que hosts que no son de dominio en una DMZ envíen eventos a un servidor de dominio en una red interna. Vi a alguien más describir esto como "entregar un inicio de sesión raíz en un servidor syslog a una fuente syslog".
¿Existe una forma menos irresponsable de configurar esto?
Respuesta1
También vi este requisito y me pareció absolutamente ridículo desde el punto de vista de la seguridad, ya que no hay ninguna razón para que la cuenta de administrador obtenga ese acceso privilegiado.
Para mitigar esto, y en lugar de otorgar permisos de acceso de lectura a la cuenta "Administrador" en la clave privada del certificado en cuestión,Simplemente otorgué este acceso a la cuenta "Sistema de red". ¡Y funcionó!
Sin embargo, encontré bastante complejo aplicar un cambio de este tipo en una organización grande y es posible que deba crear un guión para que esto suceda. Espero que haya ayudado...