Windows
訪問被拒絕 WinRM 錯誤程式碼 5
我們正在嘗試在我們的環境中設置 Windows 事件轉發 (WEF),但遇到了一些問題。我們設置了一個 GPO(如下所示)以啟用將事件轉發到本地收集伺服器,並且我們配置了連接伺服器。收集器機器顯示為已正確訂閱,但我們正在測試的另一台機器未連接到收集伺服器。
在無法轉發日誌的源機器上,我們在Application and Services Logs -> Microsoft -> Windows -> Eventlog ForwardingPlugin下看到以下錯誤
The forwarder is having a problem communicating with subscription manager at address http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC. Error code is 5 and Error Message is <f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5" Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.
在收集器機器上,我們在Application and Services Logs -> Microsoft -> Windows -> Windows Remote Management -> Operational下看到以下錯誤
The authorization of the user failed with error 5
有關收集器伺服器錯誤的更多詳細資訊:
Source: Windows Remote Managment Event ID: 192 Level: Information Task Category: User Authorization User: Network Service Keywords: Security,Server OpCode: Informational Computer: Collector.corp.company.com
好的,經過大量閱讀和研究,我似乎發現了一些有用的東西。具體來說,問題在於正在使用的頻道訪問令牌。此令牌的值應為:
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
應該為Computer Configuration -> Administrative Templates -> Windows Components -> Event Log Service -> Security設置此值。在我們的例子中,我在上面顯示的系統資料庫設置中使用了相同的值。
關鍵是添加
(A;;0x1;;;S-1-5-20)
到末尾而不是(A;;0x1;;;NS)
以下是我發現/用於使其正常工作的一些有用連結:
- https://support.logbinder.com/SuperchargerKB/50119/3-Troubleshooting-a-Problem-Forwarder
- https://forum.logbinder.com/Topic136-2.aspx
- https://apps.nsa.gov/iaarchive/library/reports/spotting-the-adversary-with-windows-event-log-monitoring.cfm
- https://github.com/ukncsc/lme
希望這會幫助其他一些人,因為這對我們來說是一種痛苦。