Отказано в доступе с кодом ошибки WinRM 5
Мы пытаемся настроить пересылку событий Windows (WEF) в нашей среде и сталкиваемся с несколькими проблемами. У нас есть настроенный объект групповой политики (показан ниже) для включения пересылки событий на локальный сервер сбора, и у нас настроен сервер подключения. Машина-сборщик отображается как подписанная правильно, но другая машина, на которой мы тестируем, не подключается к серверу сбора.
На исходном компьютере, который не может пересылать журналы, мы видим следующую ошибку в разделе Журналы приложений и служб -> Microsoft -> Windows -> Eventlog ForwardingPlugin
The forwarder is having a problem communicating with subscription manager at address
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.
Error code is 5 and Error Message is
<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.
На коллекторной машине мы видим следующую ошибку под Журналы приложений и служб -> Microsoft -> Windows -> Удаленное управление Windows -> Работа
The authorization of the user failed with error 5
Подробнее об ошибке сервера-сборщика:
Source: Windows Remote Managment
Event ID: 192
Level: Information Task Category: User Authorization
User: Network Service Keywords: Security,Server
OpCode: Informational Computer: Collector.corp.company.com
Применяемый объект групповой политики: 
У нас было такое же поведение и сообщение об ошибке (... сбой с ошибкой 5), но нашим решением был подстановочный знак в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Удаленное управление Windows -> Служба WinRM -> Разрешить удаленный сервер mgmnt через WinRM. мы просто поместили туда звездочку (*), как описано в большинстве статей, и это отлично работало больше года, но после обновления Microsoft в июле 2020 года оно перестало работать. Я вручную добавил подсети, которые мы использовали, и перезапустил службу Winrm на сборщике, и все снова начало работать.
Хорошо, после долгого чтения и исследований я, кажется, нашел кое-что, что сработало. В частности, проблема заключалась в использовании токена доступа к каналу. Значение этого токена должно быть:
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
Это значение должно быть установлено для Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Служба журнала событий -> Безопасность. В нашем случае я использовал то же значение в параметре реестра, показанном выше.
Ключ к этому - добавление (A;;0x1;;;S-1-5-20) до конца в отличие от (A;;0x1;;;NS)
Вот несколько полезных ссылок, которые я нашел / использовал, чтобы заставить это работать:
- https://support.logbinder.com/SuperchargerKB/50119/3-Troubleshooting-a-Problem-Forwarder
- https://forum.logbinder.com/Topic136-2.aspx
- https://apps.nsa.gov/iaarchive/library/reports/spotting-the-adversary-with-windows-event-log-monitoring.cfm
- https://github.com/ukncsc/lme
Надеюсь, это поможет другим людям, поскольку это было болезненно для нас.