Инструкции Microsoft по настройке пересылки событий Windows с компьютеров-источников событий на сервер-сборщик событий, который не находится в том же домене, что и источники, кажутся крайне проблематичными с точки зрения безопасности (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event-sources-naходятся-не-в-том-же-домене-что-компьютер-сборщика-событий). Инструкции проведут вас через включение аутентификации на основе сертификатов для WinRM (Windows Remote Management) на сервере-сборщике событий, а затем сопоставление клиентских сертификатов, представленных исходным компьютером событий, с «учетной записью локального администратора» на сервере-сборщике событий. Это кажется мне смехотворно небезопасным и неразумным, особенно когда я пытаюсь заставить хосты, не являющиеся доменами, в DMZ отправлять события на сервер домена во внутренней сети. Я видел, как кто-то еще описывал это как «передачу имени входа root на сервере syslog источнику syslog».
Есть ли менее безответственный способ это организовать?
решение1
Я тоже видел это требование, и оно показалось мне совершенно нелепым с точки зрения безопасности, поскольку нет никаких оснований для того, чтобы учетная запись администратора получала такой привилегированный доступ.
Чтобы смягчить эту проблему, вместо предоставления разрешений на чтение учетной записи «Администратор» для соответствующего закрытого ключа сертификата,Я просто предоставил этот доступ к учетной записи «Сетевая система». И это сработало!
Однако я обнаружил, что применить такое изменение в большой организации довольно сложно, и вам может потребоваться написать сценарий, чтобы это произошло. Надеюсь, это помогло...