從安全角度來看,Microsoft 有關配置從事件來源電腦到與來源不在相同網域中的事件收集伺服器的 Windows 事件轉送的說明似乎存在很大問題(https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initerated-subscription#setting-up-a-source-initerated-subscription-where-the-event-來源與事件收集器電腦不在同一網域中)。這些說明將引導您在事件收集器伺服器上為 WinRM(Windows 遠端管理)啟用基於憑證的驗證,然後將事件來源電腦提供的用戶端憑證對應到事件收集器伺服器上的「本機管理員帳戶」。這讓我覺得非常不安全和不明智,尤其是當我試圖讓 DMZ 中的非網域主機將事件傳送到內部網路上的網域伺服器時。我看到其他人將此描述為“將系統日誌伺服器上的根登入資訊分發給系統日誌來源”。
有沒有一種不那麼不負責任的方式來設定這個?
答案1
我也看到了這個要求,從安全角度來看,它在我看來絕對是荒謬的,因為管理員帳戶沒有理由獲得如此特權的存取權。
為了緩解這種情況,而不是向「管理員」帳戶授予相關憑證私鑰的讀取存取權限,我只是將此存取權限授予“網路系統”帳戶。它成功了!
然而,我發現在大型組織中應用這樣的變更非常複雜,您可能需要編寫腳本才能實現它。希望它有幫助...