Details zum Ereignis mit ID 40 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center

Ereignisquelle:Microsoft-Windows-Kerberos-Key-Distribution-Center
Ereignis-ID:40 (0x80000028)
Ereignisprotokoll:System
Ereignistyp:Warnung oder Fehler
Ereignistext (englisch):The Key Distribution Center (KDC) encountered a user certificate that was valid but could not be mapped to a user in a secure way (such as via explicit mapping, key trust mapping, or a SID). The certificate also predated the user it mapped to, so it was rejected. See https://go.microsoft.com/fwlink/?linkid=2189925 to learn more. User: %1 Certificate Subject: %2 Certificate Issuer: %3 Certificate Serial Number: %4 Certificate Thumbprint: %5 Certificate Issuance Time: %6 Account Creation Time: %7
Ereignistext (deutsch):Der Schlüsselverteilungscenter (KDC) hat ein gültiges Benutzerzertifikat gefunden, das jedoch keinem Benutzer auf sichere Weise zugeordnet werden konnte (z. B. über eine explizite Zuordnung, eine Schlüsselvertrauenszuordnung oder eine SID). Das Zertifikat hat auch dem Benutzer vorangestellt, dem es zugeordnet ist, weshalb es abgelehnt wurde. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2189925. Benutzer: %1 Zertifikatantragsteller: %2 Zertifikataussteller: %3 Zertifikatseriennummer: %4 Zertifikatfingerabdruck: %5 Zertifikatausstellungszeit: %6 Erstellungszeit des Kontos: %7

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: AccountName (win:UnicodeString)
  • %2: Subject (win:UnicodeString)
  • %3: Issuer (win:UnicodeString)
  • %4: SerialNumber (win:UnicodeString)
  • %5: Thumbprint (win:UnicodeString)
  • %6: IssuanceTime (win:UnicodeString)
  • %7: AccountCreationTime (win:UnicodeString)
  • %8: __binLength (win:UInt32)
  • %9: binary (win:Binary)

Beschreibung

Hierzu wurde noch keine Beschreibung verfasst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Für dieses Ereignis sollte auf alle Fälle eine Alarmierung ausgelöst werden, da im Falle einer Protokollierung Zertifikate nicht akzeptiert werden. Dies kann auf einen Angriff, aber auch auf eine Fehlkonfiguration mit Auswirkung auf die Verfügbarkeit hinweisen.

Weiterführende Links:

Externe Quellen

de_DEDeutsch