Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse

Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Ereignisquellen

Auditereignisse werden immer in das Sicherheits-Protokoll geschrieben. Sie kommen immer von der Quell Microsoft-Windows-Security-Auditing. Die für die Zertifizierungsstelle relevanten Ereignisse haben die ID-Nummern 4868 bis 4900.

Aktivieren der Auditierung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Auditereignisse werden erst geschrieben, wenn die Zertifizierungsstellen hierfür konfiguriert wurden. Für eine Beschreibung der Vorgehensweise siehe Artikel "Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen".

Erweiterte Auditereignisse aktivieren

Die Ereignisse 4898 bis 4900 werden erst erzeugt, wenn eine entsprechende Konfigurationseinstellung (das Flag EDITF_AUDITCERTTEMPLATELOAD) auf der Zertifizierungsstelle gesetzt wurde.

certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Anschließend ist ein Neustart des Zertifizierungsstellen-Dienstes erforderlich, um die Einstellungen anzuwenden.

Ereignisse

IDEreignistext
4868The certificate manager denied a pending certificate request. Request ID: %1
4869Certificate Services received a resubmitted certificate request. Request ID: %1
4870Certificate Services revoked a certificate. Serial Number: %1 Reason: %2
4871Certificate Services received a request to publish the certificate revocation list (CRL). Next Update: %1 Publish Base: %2 Publish Delta: %3
4872Certificate Services published the certificate revocation list (CRL). Base CRL: %1 CRL Number: %2 Key Container: %3 Next Publish: %4 Publish URLs: %5
4873A certificate request extension changed. Request ID: %1 Name: %2 Type: %3 Flags: %4 Data: %5
4874One or more certificate request attributes changed. Request ID: %1 Attributes: %2
4875Certificate Services received a request to shut down.
4876Certificate Services backup started. Backup Type: %1
4877Certificate Services backup completed.
4878Certificate Services restore started.
4879Certificate Services restore completed.
4880Certificate Services started. Certificate Database Hash: %1 Private Key Usage Count: %2 CA Certificate Hash: %3 CA Public Key Hash: %4
4881Certificate Services stopped. Certificate Database Hash: %1 Private Key Usage Count: %2 CA Certificate Hash: %3 CA Public Key Hash: %4
4882The security permissions for Certificate Services changed. %1
4883Certificate Services retrieved an archived key. Request ID: %1
4884Certificate Services imported a certificate into its database. Certificate: %1 Request ID: %2
4885The audit filter for Certificate Services changed. Filter: %1
4886Certificate Services received a certificate request. Request ID: %1 Requester: %2 Attributes: %3
4887Certificate Services approved a certificate request and issued a certificate. Request ID: %1 Requester: %2 Attributes: %3 Disposition: %4 SKI: %5 Subject: %6
4888Certificate Services denied a certificate request. Request ID: %1 Requester: %2 Attributes: %3 Disposition: %4 SKI: %5 Subject: %6
4889Certificate Services set the status of a certificate request to pending. Request ID: %1 Requester: %2 Attributes: %3 Disposition: %4 SKI: %5 Subject: %6
4890The certificate manager settings for Certificate Services changed. Enable: %1 %2
4891A configuration entry changed in Certificate Services. Node: %1 Entry: %2 Value: %3
4892A property of Certificate Services changed. Property: %1 Index: %2 Type: %3 Value: %4
4893Certificate Services archived a key. Request ID: %1 Requester: %2 KRA Hashes: %3
4894Certificate Services imported and archived a key. Request ID: %1
4895Certificate Services published the CA certificate to Active Directory Domain Services. Certificate Hash: %1 Valid From: %2 Valid To: %3
4896One or more rows have been deleted from the certificate database. Table ID: %1 Filter: %2 Rows Deleted: %3
4897Role separation enabled: %1
4898Certificate Services loaded a template. %1 v%2 (Schema V%3) %4 %5 Template Information: Template Content: %7 Security Descriptor: %8 Additional Information: Domain Controller: %6
4899A Certificate Services template was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %8 New Template Content: %7 Additional Information: Domain Controller: %6
4900Certificate Services template security was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %9 New Template Content: %7 Old Security Descriptor: %10 New Security Descriptor: %8 Additional Information: Domain Controller: %6

Sofern die Zertifizierungsstelle Software-Schlüssel einsetzt, sind auch diese Ereignisse interessant:

IDEreignistext
5058Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11
5059Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10

Weiterführende Links:

Externe Quellen

de_DEDeutsch