| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4890 (0x131A) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | The certificate manager settings for Certificate Services changed. Enable: %1 %2 |
| Ereignistext (deutsch): | Die Zertifikatverwaltungseinstellungen für die Zertifikatdienste wurden geändert. Aktivieren: %1 %2 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: EnableRestrictedPermissions (win:UnicodeString)
- %2: RestrictedPermissions (win:UnicodeString)
- %3: SubjectUserSid (win:SID)
- %4: SubjectUserName (win:UnicodeString)
- %5: SubjectDomainName (win:UnicodeString)
- %6: SubjectLogonId (win:HexInt64)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beschreibung
Hierzu wurde noch keine Beschreibung verfasst.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Hierzu wurde noch keine Beschreibung verfasst.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Schwerwiegend".
Die Begündung hierfür lautet:
May indicate tampering with permissions with what users are able to enroll on behalf of other users, commonly used to issue smart card certificates.
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
Deutsch 
English