| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4871 (0x1307) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Certificate Services a reçu une demande de publication de la liste de révocation des certificats (CRL). Prochaine mise à jour : %1 Publication de la base : %2 Publication du delta : %3 |
| Texte de l'événement (en allemand) : | Les services de certification ont reçu une demande de publication de la liste de révocation des certificats (CRL). Prochaine mise à jour : %1 Base de publication : %2 Delta de publication : %3 |
Catégorie : Sécurité
Détails de l'événement avec ID 4872 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4872 (0x1308) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Certificate Services a publié la liste de révocation des certificats (CRL). Base CRL : %1 Numéro CRL : %2 Conteneur de clé : %3 Publication suivante : %4 Publier URLs : %5 |
| Texte de l'événement (en allemand) : | Les services de certification ont publié la liste de révocation des certificats (CRL). CRL de base : %1 Numéro de CRL : %2 Conteneur de clé : %3 Prochaine publication : %4 URL de publication : %5 |
Détails de l'événement avec ID 4873 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4873 (0x1309) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Une extension de requête de certificat a été modifiée. ID de la demande : %1 Nom : %2 Type : %3 Drapeaux : %4 Données : %5 |
| Texte de l'événement (en allemand) : | Une extension de demande de certificat a été modifiée. ID de la demande : %1 Nom : %2 Type : %3 Indicateur : %4 Données : %5 |
Détails de l'événement avec ID 4719 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4719 (0x126F) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | La politique d'audit du système a été modifiée. Sujet : Security ID : %1 Nom de compte : %2 Domaine de compte : %3 Logon ID : %4 Changement de la politique d'audit : Catégorie : %5 Sous-catégorie : %6 Sous-catégorie GUID : %7 Changements : %8 |
| Texte de l'événement (en allemand) : | La politique de surveillance du système a été modifiée. Demandeur : ID de sécurité : %1 Nom de compte : %2 Domaine du compte : %3 ID de connexion : %4 Modification de la politique de surveillance : Catégorie : %5 Sous-catégorie : %6 GUID de sous-catégorie : %7 Modifications : %8 |
Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
En cas de compromission de l'autorité de certification, les dommages sont alors limités à ces utilisations étendues de clés. L'utilisation étendue de clés pour la connexion par carte à puce ne serait alors disponible que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement ces certificats.
Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)
En ce qui concerne la conception de l'infrastructure destinée à fournir les informations de blocage, c'est-à-dire les points de distribution des listes de révocation (CRL Distribution Point, CSP) et les répondeurs en ligne (Online Certificate Status Protocol, OCSP), la question se pose de savoir s'il convient de les „ sécuriser “ via Secure Sockets Layer (SSL) ou Transport Layer Security (TLS).
Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »Que faut-il prendre en compte lors de l'application des bases de référence de sécurité Microsoft ?
Dans le cadre des mesures de renforcement, il est recommandé d'utiliser les correctifs publiés par Microsoft. Normes de sécurité Microsoft à son propre environnement serveur.
Cela aura inévitablement des répercussions sur les composants PKI. Vous trouverez ci-dessous un aperçu des répercussions attendues et des contre-mesures.
Continuer la lecture de « Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten? »Autorisations de sécurité Windows nécessaires pour le Certificate Enrollment Policy Web Service (CEP)
Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CEP.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP) »Aperçu des événements d'audit générés par l'organisme de certification
Vous trouverez ci-dessous un aperçu des événements d'audit générés par l'autorité de certification dans l'observateur d'événements Windows.
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse »Principes fondamentaux et analyse des risques Paramètres de délégation
La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.
Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »Règles d'audit standard pour les systèmes d'exploitation Windows Server
Dès qu'une stratégie de groupe avec des paramètres d'audit est active, les règles d'audit standard préconfigurées avec le système d'exploitation sont désactivées et seuls les paramètres d'audit explicitement configurés sont appliqués.
Continuer la lecture de « Standard-Auditierungsregeln für Windows Server Betriebssysteme »Autorisations de sécurité Windows requises pour le service web d'enregistrement des certificats (CES)
Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CES.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES) »Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)
Pour des raisons de sécurité, il peut être judicieux d'utiliser le CES avec un compte de service géré par le groupe (gMSA) plutôt qu'avec un compte de domaine normal. Cette option offre l'avantage intéressant de modifier automatiquement le mot de passe du compte, ce qui évite d'avoir à effectuer cette opération manuellement, une étape qui est malheureusement trop souvent oubliée.
Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine
Vous trouverez ci-dessous une description de la manière de configurer l'inscription Web de l'autorité de certification (CAWE) afin que le service fonctionne sous un compte de domaine.
Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren »Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)
Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CAWE avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.
Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren »
Français 
Deutsch 
English