Securitate pentru redirecționarea evenimentelor Windows non-domeniu

Instrucțiunile Microsoft pentru configurarea redirecționării evenimentelor Windows de la computerele sursă de evenimente la un server de colectare de evenimente care nu este în același domeniu cu sursele par extrem de problematice din punct de vedere al securității (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- sursele-nu-sunt-in-acelasi-domeniu-ca-calculatorul-colector-de-evenimente). Instrucțiunile vă ghidează prin activarea autentificării bazate pe certificate pentru WinRM (Windows Remote Management) pe serverul de colectare de evenimente, apoi maparea certificatelor client prezentate de computerul sursă de evenimente la un „cont de administrator local” pe serverul de colectare a evenimentelor. Acest lucru mi se pare ridicol de nesigur și neînțelept, mai ales când ceea ce încerc să fac este să obțin gazde non-domeniu într-un DMZ pentru a trimite evenimente către un server de domeniu dintr-o rețea internă. Am văzut pe altcineva descriind acest lucru ca fiind „înmânarea unui login rădăcină pe un server syslog către o sursă syslog”.

Există o modalitate mai puțin iresponsabilă de a configura acest lucru?

Am văzut și această cerință și mi s-a părut absolut ridicolă din punct de vedere al securității, deoarece nu există niciun motiv ca contul de administrator să obțină un astfel de acces privilegiat.

Pentru a atenua acest lucru și în loc să acordați permisiuni de acces la citire contului „Administrator” pe cheia privată a certificatului în cauză, Pur și simplu am acordat acest acces la contul „Network system”.. Și a funcționat!

Cu toate acestea, mi s-a părut complex să aplic o astfel de modificare într-o organizație mare și poate fi necesar să o scrieți pentru a face acest lucru. Sper că a ajutat...