| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4886 (0x1316) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services received a certificate request. Request ID: %1 Requester: %2 Attributes: %3 |
| Ereignistext (deutsch): | Die Zertifikatdienste haben eine Zertifikatanforderung empfangen. Anforderungs-ID: %1 Antragsteller: %2 Attribute: %3 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: RequestId (win:UnicodeString)
- %2: Requester (win:UnicodeString)
- %3: Attributes (win:UnicodeString)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beispiel-Ereignisse
Certificate Services received a certificate request.
Request ID: 125
Requester: INTRA\CA06$
Attributes:
cdc:DC01.intra.adcslabor.de
rmd:CA06.intra.adcslabor.de
ccm:CA06.intra.adcslabor.de
Beschreibung
Das Ereignis wird protokolliert, wenn eine Zertifikatanforderung an die Zertifizierungsstelle gesendet wird und die Option "Issue and manage certificate requests" in den Auditierungsoptionen der Zertifizierungsstelle aktiviert ist.
Jede Zertifikatanforderung, egal ob ausgestellt oder nicht, wird in der Datenbank der Zertifizierungsstelle abgespeichert. Jeder Benutzer im Netzwerk kann Anfragen an die Zertifizierungsstelle senden, diese werden, wenn keine Rechte vorhanden sind, abgelehnt und protokolliert.
Die zusätzlich protokollierten Attribute haben folgende Bedeutung:
| Abkürzung | Name | Beschreibung |
|---|---|---|
| cdc | Cert Domain Controller | Ein optionales Attribut in der Zertifikatanforderung. Beschreibt den vom Antragstteller verwendeten Domänencontroller. Üblicherweise vorhanden, wenn die Zertifikatanforderung von einem Windows Computer aus erstellt wurde. |
| rmd | Request Machine DNS Name | Ein optionales Attribut in der Zertifikatanforderung. Beschreibt den DNS-Namen des Computers, von dem die Zertifikatanforderung gesendet wurde (auch wenn ein Benutzerzertifikat beantragt wird). Üblicherweise vorhanden, wenn die Zertifikatanforderung von einem Windows Computer aus erstellt wurde. |
| ccm | Cert Client Machine | DNS-Name des Computers, welcher (ICertRequest::Submit) die DCOM Verbindung zur Zertifizierungsstelle hergestellt hat (kann vom rmd abweichen, z.B. wenn die Zertifikatregistrierungs-Webdienste vorgeschaltet sind, oder wenn eine Zertifikatanforderung manuell eingereicht wird). DIeses Attribut scheint nicht durch den Client bestimmt zu werden, sondern durch die Zertifizierungsstelle. |
Die Attribute "cdc" und "rmd" können (sofern konfiguriert) vom Windows Default Policy Modul der Zertifizierungsstelle verwendet werden, um Fehler bei der Zertifikatausstellung aufgrund von Replikationslatenzen zu vermeiden. Angenommen, ein Client-Computer wird neu installiert und das Computerkonto ist noch nicht vom Domänencontroller am Standort des Client an den der Zertifizierungsstelle repliziert, kann die Zertifizierungsstelle den in "cdc" angegebenen Domänencontroller kontaktieren und die Information auf diese Weise ermitteln.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Bei einer entsprechend hohen Anzahl an Anforderungen kann es neben der verursachten Systemlast zu großem Datenbankwachstum führen und z.B. die Festplatte des Systems füllen, was zu einem Ausfall der Zertifizierungsstelle und u.U. der angebundenen IT-Dienste führen kann.
Als Faustregel gilt: 1000 Zertifikate entsprechen ungefähr 16 Mbyte Speicherplatz. 1000 Zertifikate in der Sekunde entsprächen demnach ca. 1,4 TByte am Tag.
Das Angriffsszenario ist eher unwahrscheinlich, könnte jedoch zu einem Ausfall der Zertifizierungsstelle und von ihr abhängigen IT-Diensten durch eine volle Festplatte führen.
Die zusätzlich in der Zertifikatanforderun enthaltenen Attribute "rmd" und "ccm" können hilfreich sein, die Quelle eines solchen Angriffs zu ermitteln und/oder die Erkennungsregeln präziser zu formulieren.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
- New Certificate Request Using PKCS #10 Request Format (Microsoft)
- Custom Request Attributes (Microsoft TechNet Foren)
Deutsch 
English