이벤트 소스 컴퓨터에서 소스와 동일한 도메인에 있지 않은 이벤트 수집기 서버로 Windows 이벤트 전달을 구성하기 위한 Microsoft의 지침은 보안 관점에서 볼 때 매우 문제가 있는 것으로 보입니다(https://docs.microsoft.com/en-us/windows/win32/wec/setting-up-a-source-initiated-subscription#setting-up-a-source-initiated-subscription-where-the-event- 소스는 이벤트 수집기 컴퓨터와 동일한 도메인에 있지 않습니다.). 지침은 이벤트 수집기 서버에서 WinRM(Windows 원격 관리)에 대한 인증서 기반 인증을 활성화한 다음 이벤트 원본 컴퓨터에서 제공한 클라이언트 인증서를 이벤트 수집기 서버의 "로컬 관리자 계정"에 매핑하는 과정을 안내합니다. 이는 터무니없을 정도로 안전하지 않고 현명하지 못한 것으로 생각됩니다. 특히 DMZ에 도메인이 아닌 호스트를 배치하여 내부 네트워크의 도메인 서버로 이벤트를 보내려는 경우에는 더욱 그렇습니다. 다른 사람이 이것을 "syslog 서버의 루트 로그인을 syslog 소스에 전달하는 것"이라고 설명하는 것을 보았습니다.
이것을 설정하는 덜 무책임한 방법이 있습니까?
답변1
나는 또한 이 요구 사항을 보았고 관리자 계정이 그러한 특권적인 액세스를 얻을 이유가 없기 때문에 보안 관점에서 완전히 터무니없는 것처럼 보였습니다.
이를 완화하기 위해 해당 인증서 개인 키에 대해 "관리자" 계정에 읽기 액세스 권한을 부여하는 대신,나는 단순히 "네트워크 시스템" 계정에 이 액세스 권한을 부여했습니다.. 그리고 그것은 효과가 있었습니다!
그러나 대규모 조직에 이러한 변경 사항을 적용하는 것은 매우 복잡하며 이를 실현하려면 스크립트를 작성해야 할 수도 있습니다. 도움이 되었기를 바랍니다...