イベントソースコンピュータから、ソースと同じドメインにないイベントコレクターサーバーにWindowsイベント転送を構成するためのMicrosoftの手順は、セキュリティの観点から非常に問題があるようです(https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event-sources-are-not-in-the-same-domain-as-the-event-collector-computer)。手順では、イベント コレクター サーバーで WinRM (Windows リモート管理) の証明書ベースの認証を有効にし、イベント ソース コンピューターによって提示されたクライアント証明書をイベント コレクター サーバーの「ローカル管理者アカウント」にマッピングする手順が説明されています。これは、DMZ 内の非ドメイン ホストから内部ネットワーク上のドメイン サーバーにイベントを送信しようとしている場合など、非常に安全ではなく、賢明ではないと感じます。他のユーザーがこれを「syslog サーバーのルート ログインを syslog ソースに渡す」と説明しているのを見ました。
これを設定するより無責任でない方法はあるでしょうか?
答え1
私もこの要件を見ましたが、管理者アカウントにそのような特権アクセスを与える理由がないので、セキュリティの観点からはまったくばかげていると思いました。
これを緩和するために、関係する証明書の秘密鍵に対する「管理者」アカウントに読み取りアクセス権限を付与する代わりに、私は単に「ネットワークシステム」アカウントにこのアクセスを許可しただけです. そしてそれはうまくいきました!
しかし、大規模な組織にこのような変更を適用するのは非常に複雑で、それを実現するにはスクリプトを作成する必要があるかもしれません。お役に立てば幸いです...