Quiero leer los registros de auditoría de seguridad de un servicio de red. De forma predeterminada, el Servicio de red no tiene permiso para leer, pero puede hacerlo si la cuenta se agrega a "Lectores del registro de eventos". Uno de los ejemplos se menciona aquí .
Sin embargo, quiero entender cuáles serían las implicaciones de seguridad de esto. ¿Representa una amenaza de seguridad considerable?
La implicación de seguridad de esto sería que si una aplicación que se ejecuta bajo Servicio de red está comprometida, un atacante podría leer esos registros de eventos.
La forma preferida de manejar esta situación es crear un nuevo inicio de sesión con permisos similares al servicio de red y dar ese acceso a los registros de eventos.
Lea otras preguntas en las etiquetas audit windows log-analysis