As instruções da Microsoft para configurar o encaminhamento de eventos do Windows de computadores de origem de eventos para um servidor coletor de eventos que não está no mesmo domínio das fontes parecem extremamente problemáticas do ponto de vista de segurança (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- fontes-não-estão-no-mesmo-domínio-do-computador-coletor-de-evento). As instruções orientam você na ativação da autenticação baseada em certificado para WinRM (Gerenciamento Remoto do Windows) no servidor coletor de eventos e, em seguida, no mapeamento dos certificados de cliente apresentados pelo computador de origem do evento para uma "conta de administrador local" no servidor coletor de eventos. Isso me parece ridiculamente inseguro e imprudente, especialmente quando o que estou tentando fazer é fazer com que hosts que não sejam de domínio em uma DMZ enviem eventos para um servidor de domínio em uma rede interna. Vi alguém descrever isso como "distribuir um login root em um servidor syslog para uma fonte syslog".
Existe uma maneira menos irresponsável de configurar isso?
Responder1
Também vi esse requisito e me pareceu absolutamente ridículo do ponto de vista da segurança, pois não há razão para que a conta do administrador obtenha esse acesso privilegiado.
Para mitigar isso, e em vez de conceder permissões de acesso de leitura à conta "Administrador" na chave privada do certificado em questão,Simplesmente concedi esse acesso à conta "Sistema de rede". E funcionou!
No entanto, achei bastante complexo aplicar tal mudança em uma grande organização e pode ser necessário criar um script para que isso aconteça. Espero que tenha ajudado...