从安全角度来看,微软关于将 Windows 事件转发从事件源计算机配置到与事件源不在同一域中的事件收集器服务器的说明似乎存在很大问题(https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event-sources-are-not-in-the-same-domain-as-the-event-collector-computer)。说明将引导您在事件收集服务器上启用 WinRM(Windows 远程管理)的基于证书的身份验证,然后将事件源计算机提供的客户端证书映射到事件收集服务器上的“本地管理员帐户”。这让我觉得非常不安全和不明智,尤其是当我试图让 DMZ 中的非域主机将事件发送到内部网络上的域服务器时。我看到其他人将此描述为“将 syslog 服务器上的 root 登录交给 syslog 源。”
有没有更不负责任的方式来实现这个设置?
答案1
我也看到了这个要求,从安全的角度来看这看起来绝对荒谬,因为管理员帐户没有理由获得这样的特权访问权限。
为了缓解这种情况,而不是向相关证书私钥上的“管理员”帐户授予读取访问权限,我只是授予“网络系统”帐户此访问权限.并且成功了!
然而,我发现在大型组织中应用这种改变相当复杂,你可能需要编写脚本才能实现它。希望它有所帮助...