Безопасность пересылки событий Windows вне домена

Инструкции Microsoft по настройке пересылки событий Windows с компьютеров-источников событий на сервер-сборщик событий, который не находится в том же домене, что и источники, кажутся чрезвычайно проблематичными с точки зрения безопасности (https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- источники не находятся в том же домене, что и компьютер-собиратель событий). Инструкции помогут вам включить проверку подлинности на основе сертификатов для WinRM (удаленное управление Windows) на сервере сборщика событий, а затем сопоставить клиентские сертификаты, представленные исходным компьютером событий, с «учетной записью локального администратора» на сервере сборщика событий. Это кажется мне смехотворно небезопасным и неразумным, особенно когда я пытаюсь заставить недоменные хосты в DMZ отправлять события на сервер домена во внутренней сети. Я видел, как кто-то еще описал это как «передачу имени пользователя root на сервере системного журнала источнику системного журнала».

Есть ли менее безответственный способ настроить это?

Я также видел это требование, и оно показалось мне совершенно нелепым с точки зрения безопасности, так как нет никаких причин, чтобы учетная запись администратора получала такой привилегированный доступ.

Чтобы смягчить это и вместо предоставления разрешений на чтение учетной записи «Администратор» в соответствующем закрытом ключе сертификата, Я просто предоставил этот доступ учетной записи "Сетевая система". И это сработало!

Однако я обнаружил, что для применения такого изменения в большой организации достаточно сложно, и вам может потребоваться сценарий, чтобы это произошло. Надеюсь помогло...