Details zum Ereignis mit ID 4892 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle: Microsoft-Windows-Security-Auditing
Ereignis-ID: 4892 (0x131C)
Ereignisprotokoll: Security
Ereignistyp: Information
Ereignistext (englisch): A property of Certificate Services changed. Property: %1 Index: %2 Type: %3 Value: %4
Ereignistext (deutsch): Eine Eigenschaft der Zertifikatdienste wurde geändert. Eigenschaft: %1 Index: %2 Typ: %3 Wert: %4

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: PropertyName (win:UnicodeString)
  • %2: PropertyIndex (win:UnicodeString)
  • %3: PropertyType (win:UnicodeString)
  • %4: PropertyValue (win:UnicodeString)
  • %5: SubjectUserSid (win:SID)
  • %6: SubjectUserName (win:UnicodeString)
  • %7: SubjectDomainName (win:UnicodeString)
  • %8: SubjectLogonId (win:HexInt64)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

     A property of Certificate Services changed. 

Property: 29
Index: 0
Type: 4
Value: ADCSLaborNDES
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002
ADCSLaborEnrollmentAgent
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.12290905.9667004
ADCSLaborWebServerXXL-Key
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.5156301.12920431
ADCSLaborWebServerECC
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4459674.5642534
ADCSLaborKeyRecoveryAgent
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.7551014.10282049
ADCSLaborRemoteDesktopAuthenticationmanuell
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.10025967.9145454
ADCSLaborOCSPResponseSigningmanual
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.7432440.16578047
SubCA
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.1.18
ADCSLaborRemoteDesktopAuthentication
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.5089216.3191700
ADCSLaborEnrollmentAgent(Computer)
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.14512268.4519931
ADCSLaborCEPEncryption
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.12707994.4797323
IPSECIntermediateOffline
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.1.20
ADCSLaborOCSPResponseSigning
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.2829390.3424966
ADCSLaborBenutzer
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655

Beschreibung

Hierzu wurde noch keine Beschreibung verfasst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Die Begündung hierfür lautet:

Can be used to track changes to Key Recovery Agent configuration

Weiterführende Links:

Externe Quellen

de_DEDeutsch