Windows:将网络服务帐户添加到“事件日志读取器”组会带来哪些安全隐患?

Windows:将网络服务帐户添加到“事件日志读取器”组会带来哪些安全隐患?

我想从网络服务读取安全审计日志。默认情况下,网络服务没有读取权限,但如果将帐户添加到“事件日志读取器”,则可以读取。其中一个例子是这里

但是,我想了解这会带来哪些安全隐患。这是否会带来相当大的安全威胁?

答案1

安全隐患实际上取决于哪台机器以及它正在运行什么。例如,如果您有一台开发机器,在开发人员排除故障时转储包含登录信息的详细错误,那么在您的场景中,这些数据对于作为网络服务运行的任何程序都是可见的。您永远不想在 SQL 环境中这样做,因为您可能会通过转储连接字符串信息或失败登录事件的细节来危及安全性。然而,没有内联网访问权限的哑互联网终端可能更安全,因为您不会将关键数据放在上面或允许它登录防火墙后面的任何东西。

相反,Windows 有一个名为事件转发旨在使用类似方法将事件转发到服务器,但采用安全的特定登录,而不仅仅是网络服务的通用登录。即使没有转发,最好使用与其他网络不通用的安全登录,而不是 Windows 自带的网络服务通用登录。

相关内容