Windows: Каковы последствия для безопасности при добавлении учетной записи сетевой службы в группу «Читатели журнала событий»?

355
Akshat

Я хочу читать журналы аудита безопасности из сетевого сервиса. По умолчанию Сетевая служба не имеет разрешения на чтение, но может, если учетная запись добавлена ​​в «Считыватели журнала событий». Один из примеров упоминается здесь .

Однако я хочу понять, как это повлияет на безопасность. Представляет ли это значительную угрозу безопасности?

0

1 ответ на вопрос

0
CDove

Значения безопасности действительно зависят от того, на какой машине она работает. Например, если у вас есть компьютер для разработки, который выдает подробные ошибки, которые включают информацию о входе в систему при устранении неполадок разработчиков, эти данные становятся видимыми для всего, что работает в качестве сетевой службы, в вашем сценарии. Вы никогда не захотите делать это в среде SQL, так как вы можете поставить под угрозу безопасность, сбросив информацию о строке подключения или данные о неудачных событиях входа в систему, если не сказать больше. Тем не менее, тупой интернет-терминал без доступа к интрасети, вероятно, будет более безопасным, поскольку вы не будете помещать на него критически важные данные или позволять входить во что-либо за брандмауэром.

Вместо этого в Windows имеется функция « Переадресация событий», предназначенная для пересылки событий на сервер с использованием аналогичного подхода, но с использованием защищенной, определенной учетной записи, а не просто общей учетной записи сетевой службы. Даже без пересылки лучше использовать защищенный вход в систему, который не является обычным для других сетей, вместо общего входа в систему для сетевых служб, поставляемых с Windows.