Ereignisquelle: | Microsoft-Windows-Security-Auditing |
Ereignis-ID: | 5059 (0x13C3) |
Ereignisprotokoll: | Security |
Ereignistyp: | Information |
Ereignistext (englisch): | Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10 |
Ereignistext (deutsch): | Schlüsselmigrationsvorgang. Antragsteller: Sicherheits-ID: %1 Kontoname: %2 Kontodomäne: %3 Anmelde-ID: %4 Kryptografische Parameter: Anbietername: %5 Algorithmusname: %6 Schlüsselname: %7 Schlüsseltyp: %8 Zusätzliche Informationen: Vorgang: %9 Rückgabecode: %10 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: SubjectUserSid (win:SID)
- %2: SubjectUserName (win:UnicodeString)
- %3: SubjectDomainName (win:UnicodeString)
- %4: SubjectLogonId (win:HexInt64)
- %5: ProviderName (win:UnicodeString)
- %6: AlgorithmName (win:UnicodeString)
- %7: KeyName (win:UnicodeString)
- %8: KeyType (win:UnicodeString)
- %9: Operation (win:UnicodeString)
- %10: ReturnCode (win:HexInt32)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beispiel-Ereignisse
Key migration operation. Subject: Security ID: SYSTEM Account Name: CA02$ Account Domain: INTRA Logon ID: 0x3E7 Process Information: Process ID: 1304 Process Creation Time: 2020-08-24T15:50:54.567208200Z Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: ADCS Labor Issuing CA 1 Key Type: Machine key. Additional Information: Operation: Export of persistent cryptographic key. Return Code: 0x0
Beschreibung
Dieses Ereignis tritt bei Zugriff auf einen Software-basierten Schlüssel auf. Entsprechend auch, wenn eine Zertifizierungsstelle über einen Software-Schlüssel verfügt und auf diesen zugreift.
Es tritt zusammen mit dem Ereignis mit ID 5058 der Quelle Microsoft-Windows-Security-Auditing auf.
Das Ereignis tritt nur auf, wenn die Auditierung für "Other System Events" aktiviert ist.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Dieses Ereignis kann als kritisch für die Integrität bewertet werden, wenn ein Zugriff auf den Schlüssel der Zertifizierungsstelle abseits des Kontexts der Zertifizierungsstelle erfolgt. Der Zertifizierungsstellen-Dienst läuft im Kontext "SYSTEM".
Es bietet sich daher an, eine Überwachung auf dieses Ereignis einzurichten und anhand folgender Kriterien zu filtern:
- Der Zugriff erfolgt nicht durch das Konto "SYSTEM".
- (Optional) Der Zugriff erfolgt auf einen bestimmten benannten Schlüssel (siehe Ereignis-Details.
Beispiel für Windows Event Forwarding (WEF):
{QueryList} {Query Id="0" Path="Security"} {Select Path="Security"} *[System[(EventID='5058') or (EventID='5059')]] and *[EventData[Data[@Name="SubjectLogonId"] != "0x3e7"]] {/Select} {/Query} {/QueryList}
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- 5059(S, F): Key migration operation. (Microsoft Corporation)
4 Gedanken zu „Details zum Ereignis mit ID 5059 der Quelle Microsoft-Windows-Security-Auditing“
Kommentare sind geschlossen.