Я хочу читать журналы аудита безопасности из сетевого сервиса. По умолчанию Сетевая служба не имеет разрешения на чтение, но может, если учетная запись добавлена в "Считыватели журнала событий". Один из примеров упоминается здесь.
Однако я хочу понять, как это повлияет на безопасность. Представляет ли это значительную угрозу безопасности?
Значения безопасности действительно зависят от того, на какой машине она работает. Например, если у вас есть компьютер для разработки, который выдает подробные ошибки, которые включают информацию о входе в систему при устранении неполадок разработчиков, эти данные становятся видимыми для всего, что работает в качестве сетевой службы, в вашем сценарии. Вы никогда не захотите делать это в среде SQL, поскольку вы можете поставить под угрозу безопасность, выгрузив информацию о строке подключения или данные о неудачных событиях входа в систему, если не сказать больше. Тем не менее, тупой интернет-терминал без доступа к интрасети, вероятно, будет более безопасным, поскольку вы не будете помещать на него критически важные данные или позволять входить во что-либо за брандмауэром.
Вместо этого в Windows имеется функция « Переадресация событий» , предназначенная для пересылки событий на сервер с использованием аналогичного подхода, но с использованием защищенной, определенной учетной записи, а не просто общей учетной записи сетевой службы. Даже без пересылки лучше использовать защищенный вход в систему, который не является обычным для других сетей, вместо общего входа в систему для сетевых служб, поставляемых с Windows.
