Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse

Nachfolgend eine Übersicht über die vom Onlineresponder erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Ereignisquellen

Auditereignisse werden immer in das Sicherheits-Protokoll geschrieben. Sie kommen immer von der Quell Microsoft-Windows-Security-Auditing. Die für die Zertifizierungsstelle relevanten Ereignisse haben die ID-Nummern 5120 bis 5127.

Aktivieren der Auditierung

Die Auditierung muss an verschiedenen Stellen aktiviert werden:

  • Auf Responder-Ebene
  • Auf Betriebssystem-Ebene

Auditierung auf Responder-Ebene aktivieren

Die Auditierung auf Responder-Ebene wird über die Verwaltungskonsole für den Onlineresponder konfiguriert. Hierzu wird in der Baumansicht auf der linken Seite mit Rechts geklickt und "Responder Properties" gewählt.

In der Karteikarte "Audit" können nun die gewünschten Auditereignisse ausgewählt werden.

Die Auditeinstellungen werden in der Registrierung als Bitmaske im Wert "Auditfilter" unter folgendem Registrierungs-Schlüssel hinterlegt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

Die einzelnen Werte bedeuten hierbei folgendes:

WertBedeutung
1Start/Stop the Online Responder Service
2Changes to the Online Responder configuration
4Requests submitted to the Online Responder
8Changes to the Online Responder security settings

Auditierung auf Betriebssystem-Ebene aktivieren

Analog zur Audit-Konfiguration für Zertifizierungsstellen muss auf Betriebssystemebene die Auditkonfiguration für "Certification Services" aktiviert sein. Vorzugsweise sollte dieses über eine Gruppenrichtlinie erfolgen, die auf alle Onlineresponder angewendet wird.

Ereignisse

IDEreignistext
5120OCSP Responder Service Started.
5121OCSP Responder Service Stopped.
5122A Configuration entry changed in the OCSP Responder Service. CA Configuration ID: %1 New Value: %2
5123A configuration entry changed in the OCSP Responder Service. Property Name: %1 New Value: %2
5124A security setting was updated on OCSP Responder Service. New Value: %1
5125A request was submitted to OCSP Responder Service.
5126Signing Certificate was automatically updated by the OCSP Responder Service. CA Configuration ID: %1 New Signing Certificate Hash: %2
5127The OCSP Revocation Provider successfully updated the revocation information. CA Configuration ID: %1 Base CRL Number: %2 Base CRL This Update: %3 Base CRL Hash: %4 Delta CRL Number: %5 Delta CRL Indicator: %6 Delta CRL This Update: %7 Delta CRL Hash: %8
IDEreignistext
5058Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11
5059Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10

Weiterführende Links

Externe Quellen

de_DEDeutsch