Details zum Ereignis mit ID 4891 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	4891 (0x131B)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A configuration entry changed in Certificate Services. Node: %1 Entry: %2 Value: %3
Ereignistext (deutsch):	Ein Konfigurationseintrag in den Zertifikatdiensten wurde geändert. Knoten: %1 Eintrag: %2 Wert: %3

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

%1: Node (win:UnicodeString)
%2: Entry (win:UnicodeString)
%3: Value (win:UnicodeString)
%4: SubjectUserSid (win:SID)
%5: SubjectUserName (win:UnicodeString)
%6: SubjectDomainName (win:UnicodeString)
%7: SubjectLogonId (win:HexInt64)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beschreibung

Hierzu wurde noch keine Beschreibung verfasst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Es ist eher unwahrscheinlich, dass eine Registry-Änderung durch einen Angreifer erfolgen wird. Da dieser bereits administrative Rechte besitzen muss, gäbe es leichtere Wege, weiterführenden Schaden anzurichten. Wahrscheinlicher ist eine Konfigurationsänderung, welche jedoch vorab angemeldet worden sein sollte.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Die Begündung hierfür lautet:

Can be used to monitor for changes to Policy/Exit modules on the CA or configuration of CDP/AIA extensions.

Weiterführende Links:

Externe Quellen

Securing Public Key Infrastructure (PKI) (Microsoft)