คำแนะนำของ Microsoft สำหรับการกำหนดค่า Windows Event Forwarding จากคอมพิวเตอร์ต้นทางของเหตุการณ์ไปยังเซิร์ฟเวอร์ตัวรวบรวมเหตุการณ์ที่ไม่ได้อยู่ในโดเมนเดียวกันกับต้นทางดูเหมือนจะเป็นปัญหาอย่างมากจากจุดยืนด้านความปลอดภัย (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- แหล่งที่มาไม่ได้อยู่ในโดเมนเดียวกันกับเหตุการณ์ที่รวบรวมคอมพิวเตอร์). คำแนะนำจะอธิบายขั้นตอนการเปิดใช้งานการรับรองความถูกต้องตามใบรับรองสำหรับ WinRM (การจัดการระยะไกลของ Windows) บนเซิร์ฟเวอร์ตัวรวบรวมเหตุการณ์ จากนั้นจึงแมปใบรับรองไคลเอ็นต์ที่แสดงโดยคอมพิวเตอร์ต้นทางของเหตุการณ์กับ "บัญชีผู้ดูแลระบบภายใน" บนเซิร์ฟเวอร์ตัวรวบรวมเหตุการณ์ สิ่งนี้ทำให้ฉันดูไม่ปลอดภัยและไม่ฉลาดเลย โดยเฉพาะอย่างยิ่งเมื่อสิ่งที่ฉันพยายามทำคือการให้โฮสต์ที่ไม่ใช่โดเมนใน DMZ ส่งเหตุการณ์ไปยังเซิร์ฟเวอร์โดเมนบนเครือข่ายภายใน ฉันเห็นคนอื่นอธิบายสิ่งนี้ว่า "มอบการเข้าสู่ระบบรูทบนเซิร์ฟเวอร์ syslog ไปยังแหล่งที่มาของ syslog"
มีวิธีที่ไม่รับผิดชอบน้อยกว่าในการตั้งค่านี้หรือไม่?
ฉันยังเห็นข้อกำหนดนี้และสำหรับฉันแล้วมันดูไร้สาระอย่างยิ่งจากมุมมองด้านความปลอดภัย เนื่องจากไม่มีเหตุผลใดที่บัญชีผู้ดูแลระบบจะได้รับสิทธิ์การเข้าถึงพิเศษเช่นนี้
เพื่อลดปัญหานี้ และแทนที่จะให้สิทธิ์การเข้าถึงแบบอ่านกับบัญชี "ผู้ดูแลระบบ" บนคีย์ส่วนตัวของใบรับรองที่เกี่ยวข้อง ฉันเพิ่งให้สิทธิ์เข้าถึงบัญชี "ระบบเครือข่าย". และได้ผล!
อย่างไรก็ตาม ฉันพบว่ามันซับซ้อนแบบเงียบๆ ที่จะใช้การเปลี่ยนแปลงดังกล่าวกับองค์กรขนาดใหญ่ และคุณอาจต้องเขียนสคริปต์เพื่อให้มันเกิดขึ้น หวังว่ามันจะช่วย ...
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
