In viata oricarui om care are treaba cu Windows vine momentul ala in care vrei sa citesti remote Security events de pe un server remote.
Pentru ca Windows, pentru ca Security si pentru ca vrei remote – e un pic complicat :)
In Windows 2008 exista un grup built-in numit Event Log Readers care are permisiune sa citeasca ce scrie in logurile de Security (are un SID predeterminat care este trecut in permisiunile pentru Event Viewer Security). Daca ai un user local si vrei sa-i dai voie sa citeasca logurile, il bagi un grupul asta si treaba e terminata.
Cand vrei sa faci asta remote, trebuie sa te scarpini un pic.
- Se creeaza un user obisnuit (sa-i zicem logreader) si se face membru in Event Log Readers.
- Ne logam ca administrator pe masina target
- Umblam la permisiunile de DCOM astfel:
- Start -> Run -> dcomcnfg
- In casuta Component Services, se expandeaza Component Services, dupa aia Computers si dupa aia dai click dreapta pe My Computer
- In casuta de dialog, click pe tab-ul COM Security
- Dupa aia, se selecteaza Launch and Activation Permissions.
- In campul de Launch Permissions, click pe Edit Limits, se adauga acolo grupul Event Log Readers si ca permisiuni pentru el se selecteaza Remote Launch si Remote Activation
- In campul Access Permissions, click pe Edit Limits, se adauga grupul Event Log Reader si la permisiuni se selecteaza Remote Access
- Click pe OK in toate casutele de dialog si am terminat cu DCOM
- Umblam la permisiunile WMI asttfel:
- Control Panel -> Administrative Tools -> Computer Management
- In fereastra de Computer Management, click pe Services and Applications, apoi click dreapta pe WMI Control si dupa aia click pe Properties
- Se selecteaza tab-ul Security
- Se selecteaza Root -> CIMV2 si dupa aia click pe Security
- Se adauga grupul Event Log Readers si dupa aia click pe Advanced
- In fereastra Advanced, se da click pe grupul Event Log Readers dupa aia click pe butonul Edit si acolo se selecteaza ca permisiuni Enable Account si Remote Enable, iar la Apply to se selecteaza This namespace and subnamespaces
- Se da OK pana se termina cu toate casutele de dialog
- Din Services se da restart la Windows Management Instrumentation (daca e Domain Controller, trebuie reboot)
Si voila, acum putem citi remote logurile de securitate de pe o masina Windows Server 2008+ folosind un utilizator fara nici un drept special.
Ce-am descris mai sus este varianta kosher si corecta, adica aplicand principiul Least Privilege.
Mai exista si o varianta si mai complicata, care presupune drepturi pe user si nu pe grup, insa trebuie modificate si permisiunile pe Event Viewer Security care sunt un picut mai voodoo de facut. Asta poate necesara cand ai un mediu de tip High Security Assurance si ai si resurse sa inspectezi fiecare bit si fiecare permisiune sa nu scape ceva pe langa.
Daca ne doare la bascheti de securitate, varianta simpla e sa faci userul cu care vrei sa citesti logurile remote membru in Domain Admins si ai rezolvat problema din 3 click-uri.
Mai invatai si io ceva azi :)