| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4898 (0x1322) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services loaded a template. %1 v%2 (Schema V%3) %4 %5 Template Information: Template Content: %7 Security Descriptor: %8 Additional Information: Domain Controller: %6 |
| Ereignistext (deutsch): | Die Zertifikatdienste haben eine Vorlage geladen. %1 v%2 (Schema V%3) %4 %5 Vorlageninformationen: Vorlageninhalt: %7 Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: TemplateInternalName (win:UnicodeString)
- %2: TemplateVersion (win:UnicodeString)
- %3: TemplateSchemaVersion (win:UnicodeString)
- %4: TemplateOID (win:UnicodeString)
- %5: TemplateDSObjectFQDN (win:UnicodeString)
- %6: DCDNSName (win:UnicodeString)
- %7: TemplateContent (win:UnicodeString)
- %8: SecurityDescriptor (win:UnicodeString)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beispiel-Ereignisse
Certificate Services loaded a template.
ADCSLaborNDES v100.11 (Schema V2)
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002
CN=ADCSLaborNDES,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de
Template Information:
Template Content:
flags = 0x20241 (131649)
CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
CT_FLAG_MACHINE_TYPE -- 0x40 (64)
CT_FLAG_ADD_TEMPLATE_NAME -- 0x200 (512)
CT_FLAG_IS_MODIFIED -- 0x20000 (131072)
msPKI-Private-Key-Flag = 0x1010000 (16842752)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0x0
TEMPLATE_SERVER_VER_2003<TEMPLATE_CLIENT_VER_XP<
msPKI-Certificate-Name-Flag = 0x1 (1)
CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
msPKI-Enrollment-Flag = 0x0 (0)
msPKI-Template-Schema-Version = 2
revision = 100
msPKI-Template-Minor-Revision = 11
msPKI-RA-Signature = 0
msPKI-Minimal-Key-Size = 3072
pKIDefaultKeySpec = 1
pKIExpirationPeriod = 2 Years
pKIOverlapPeriod = 6 Weeks
cn = ADCSLaborNDES
distinguishedName = ADCSLaborNDES
msPKI-Cert-Template-OID =
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 ADCS Labor NDES
pKIKeyUsage = a0
displayName = ADCS Labor NDES
templateDescription = Computer
pKIExtendedKeyUsage =
1.3.6.1.5.5.8.2.2 IP security IKE intermediate
pKIDefaultCSPs =
Microsoft RSA SChannel Cryptographic Provider
msPKI-Supersede-Templates =
msPKI-RA-Policies =
msPKI-RA-Application-Policies =
msPKI-Certificate-Policy =
msPKI-Certificate-Application-Policy =
1.3.6.1.5.5.8.2.2 IP security IKE intermediate
pKICriticalExtensions =
2.5.29.15 Key Usage
Security Descriptor: O:S-1-5-21-1381186052-4247692386-135928078-500G:S-1-5-21-1381186052-4247692386-135928078-519D:PAI(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1109)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1162)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1171)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1172)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-519)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;AU)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1109)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1162)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1171)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1172)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-519)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-500)(A;;LCRPLORC;;;AU)
Allow S-1-5-21-1381186052-4247692386-135928078-1109
Enroll
Allow INTRA\rudi
Enroll
Allow S-1-5-21-1381186052-4247692386-135928078-1171
Enroll
Allow S-1-5-21-1381186052-4247692386-135928078-1172
Enroll
Allow INTRA\Domain Admins
Enroll
Allow INTRA\Enterprise Admins
Enroll
Allow NT AUTHORITY\Authenticated Users
Enroll
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1109
Read
Allow(0x00020014) INTRA\rudi
Read
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1171
Read
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1172
Read
Allow(0x000f00ff) INTRA\Domain Admins
Full Control
Allow(0x000f00ff) INTRA\Enterprise Admins
Full Control
Allow(0x000f00ff) INTRA\Administrator
Full Control
Allow(0x00020094) NT AUTHORITY\Authenticated Users
Read
Additional Information:
Domain Controller: DC01.intra.adcslabor.de
Beschreibung
Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:
certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Hierzu wurde noch keine Beschreibung verfasst.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Hierzu wurde noch keine Beschreibung verfasst.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".
Die Begündung hierfür lautet:
Alert if templates that are not expected on a CA are loaded.
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
- Securing PKI: Monitoring Public Key Infrastructure (Microsoft)
Deutsch 
English
Ein Gedanke zu „Details zum Ereignis mit ID 4898 der Quelle Microsoft-Windows-Security-Auditing“
Kommentare sind geschlossen.