Details zum Ereignis mit ID 4887 der Quelle Microsoft-Windows-Security-Auditing

Autor Uwe GradeneggerVeröffentlicht am Kategorien Ereignisse, Security, ZertifizierungsstelleSchlagwörter
Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4887 (0x1317)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):Certificate Services approved a certificate request and issued a certificate. Request ID: %1 Requester: %2 Attributes: %3 Disposition: %4 SKI: %5 Subject: %6
Ereignistext (deutsch):Die Zertifikatdienste haben eine Zertifikatanforderung genehmigt und ein Zertifikat ausgestellt. Anforderungs-ID: %1 Antragsteller: %2 Attribute: %3 Disposition: %4 SKI: %5 Betreff: %6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: RequestId (win:UnicodeString)
  • %2: Requester (win:UnicodeString)
  • %3: Attributes (win:UnicodeString)
  • %4: Disposition (win:UnicodeString)
  • %5: SubjectKeyIdentifier (win:UnicodeString)
  • %6: Subject (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 Certificate Services approved a certificate request and issued a certificate. 
 	 
 Request ID:	130 
 Requester:	INTRA\TCA2008$ 
 Attributes:	
 cdc:DC01.intra.adcslabor.de
 rmd:TCA2008.intra.adcslabor.de
 
 ccm:TCA2008.intra.adcslabor.de 
 Disposition:	3 
 SKI:		71 98 9a e4 99 fd f0 fd 72 6a 78 ac 38 9d 58 74 b0 1b 2c 86 
 Subject:	 
Certificate Services approved a certificate request and issued a certificate.
 Request ID:    110910
 Requester:    INTRA\rudi
 Attributes:    
 CertificateTemplate:ADCSLaborSmartcardLogon
 ccm:NDES01.intra.adcslabor.de
 Disposition:    3
 SKI:        16 2f 74 e1 8e 6c bd 18 5c e3 ad 2d 10 22 ff 4d 7d 88 ba be
 Subject:    CN=Administrator, CN=Users, DC=intra, DC=adcslabor, DC=de

Beschreibung

Wird bei Ausstellung eines Zertifikats durch die Zertifizierungsstelle ausgelöst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Das Ereignis kann Hinweise auf eine unberechtigte Zertifikatbeantragung beinhalten. Eine Alarmierung kann sinnvoll sein, wenn beispielsweise über den Enroll on Behalf of (EOBO) Prozess Zertifikate für administrative Identitäten ausgestellt werden.

Auch eine Alarmierung im Falle der Ausstellung von Zertifikaten mit leerem commonName kann sinnvoll sein, dies kann in Verbindung mit einem Mobile Device Management (MDM) System vorkommen, wenn z.B. ein Gerät keinem Benutzer zugewiesen ist.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Die Begündung hierfür lautet:

Issuance of certificates that contain usages that allow the owner to perform privileged operations (Enrollment Agent, Code Signing etc.) or certificates issued to VIP users should be monitored.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Details zum Ereignis mit ID 4887 der Quelle Microsoft-Windows-Security-Auditing“

  1. Pingback: Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch