Details zum Ereignis mit ID 4899 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	4899 (0x1323)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A Certificate Services template was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %8 New Template Content: %7 Additional Information: Domain Controller: %6
Ereignistext (deutsch):	Die Zertifikatdienstvorlage wurde aktualisiert. %1 v%2 (Schema V%3) %4 %5 Vorlageninformationen: Vorlageninhalt: %7 Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

• %1: TemplateInternalName (win:UnicodeString)
• %2: TemplateVersion (win:UnicodeString)
• %3: TemplateSchemaVersion (win:UnicodeString)
• %4: TemplateOID (win:UnicodeString)
• %5: TemplateDSObjectFQDN (win:UnicodeString)
• %6: DCDNSName (win:UnicodeString)
• %7: NewTemplateContent (win:UnicodeString)
• %8: OldTemplateContent (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 A Certificate Services template was updated. 
  
 ADCSLaborBenutzer v101.81 (Schema V2) 
 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655 
 CN=ADCSLaborBenutzer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de 
  
 Template Change Information: 
 	Old Template Content:	
 msPKI-Template-Minor-Revision = 79
 
 msPKI-Certificate-Policy =
   1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.12718143.3882922
  
 	New Template Content:		
 msPKI-Template-Minor-Revision = 81
 
 msPKI-Certificate-Policy =
  
  
 Additional Information: 
 	Domain Controller:	DC01.intra.adcslabor.de 

Beschreibung

Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:

 certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD 

Für privilegierte Aktionen nutzbare Enhanced Key Usages zu einer Zertifikatvorlage hinzugefügt

Gelingt es einem Angreifer, Zertifikate auszustellen, die für Smartcard Logon nutzbar sind (dies ist mit den Enhanced Key Usages Smartcard Logon und Client Authentication möglich), könnte er andere Benutzer einschließlich administrativen Konten impersonieren.

Zertifikatvorlage wird verändert, sodass der Antragsteller die Identität vorgeben kann, und/oder die Genehmigung durch einen Zertifikatmanager wird deaktiviert

Üblicherweise werden die Identitäten in einem Zertifikat durch das Policy-Modul der Zertifizierungsstelle aus dem Active Directory gebaut, sodass der Antragsteller hierauf keinen Einfluss hat und eine Impersonierung anderer Identitäten nicht möglich ist. Es gibt jedoch Ausnahmefälle, in welchen dies erforderlich wäre (Web Server). Dem Policy Modul wird dies über setzen des Flag CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT in der Vorlage mitgeteilt. Üblicherweise sollten solche Zertifikatanforderungen dann manuell überprüft und genehmigt werden, was dem Policy Modul über das Flag CT_FLAG_PEND_ALL_REQUESTS mitgeteilt wird. Wird in einer Vorlage nun die Angabe der Identität durch den Antragsteller erlaubt oder die manuelle Überprüfung abgeschaltet, sollte dies alarmiert werden.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Gelingt es einem Angreifer, Zertifikate auszustellen, die für Smartcard Logon nutzbar sind (dies ist mit den Enhanced Key Usages Smartcard Logon und Client Authentication möglich), könnte er andere Benutzer einschließlich administrativen Konten impersonieren. Das Smartcard Logon Enhanced Key Usage sollte nur bei wenigen Vorlagen (insbesondere Windows Hello for Business) erforderlich sein. Das Client Authentication Enhanced Key Usage wird von Domain Controllern leider auch akzeptiert, und dieses kommt häufig auch in anderen Fällen vor. Daher ist hier mit einer höheren Anzahl von Alarmen zu rechnen.

Je nach Zertifikattyp könnte ein Angreifer sich erhöhte Rechte verschaffen, wenn er als Antragsteller die Identität eines anderen Benutzers angeben kann, und die Zertifizierungsstelle das Zertifikat direkt ausstellt. Die Wahrscheinlichkeit, dass ein Angreifer in Vorbereitung auf eine solche Aktion die Vorlagen-Berechtigungen verändert ts eher gering, eine falsch konfigurierte Vorlage kann jedoch durchaus ein attraktives Ziel zur Ausnutzung sein.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Weiterführende Links:

• Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
• Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse

Externe Quellen

• Securing Public Key Infrastructure (PKI) (Microsoft)
• Securing PKI: Monitoring Public Key Infrastructure (Microsoft)