| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4873 (0x1309) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Une extension de requête de certificat a été modifiée. ID de la demande : %1 Nom : %2 Type : %3 Drapeaux : %4 Données : %5 |
| Texte de l'événement (en allemand) : | Une extension de demande de certificat a été modifiée. ID de la demande : %1 Nom : %2 Type : %3 Indicateur : %4 Données : %5 |
Catégorie : Sécurité
Détails de l'événement avec ID 4874 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4874 (0x130A) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Un ou plusieurs attributs de demande de certificat ont été modifiés. ID de la demande : %1 Attributs : %2 |
| Texte de l'événement (en allemand) : | Au moins un attribut d'exigence de certificat a été modifié. ID d'exigence : %1 Attributs : %2 |
Détails de l'événement avec ID 4875 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4875 (0x130B) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Les services de certification ont reçu une demande d'arrêt. |
| Texte de l'événement (en allemand) : | Les services de certificats ont reçu une demande d'arrêt. |
Détails de l'événement avec ID 4719 de la source Microsoft Windows Security Auditing
| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4719 (0x126F) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | La politique d'audit du système a été modifiée. Sujet : Security ID : %1 Nom de compte : %2 Domaine de compte : %3 Logon ID : %4 Changement de la politique d'audit : Catégorie : %5 Sous-catégorie : %6 Sous-catégorie GUID : %7 Changements : %8 |
| Texte de l'événement (en allemand) : | La politique de surveillance du système a été modifiée. Demandeur : ID de sécurité : %1 Nom de compte : %2 Domaine du compte : %3 ID de connexion : %4 Modification de la politique de surveillance : Catégorie : %5 Sous-catégorie : %6 GUID de sous-catégorie : %7 Modifications : %8 |
Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
Im Fall einer Kompromittierung der Zertifizierungsstelle ist der Schaden dann auf diese Extended Key Usages beschränkt. Das Smart Card Logon Extended Key Usage wäre dann nur in dem Zertifizierungsstellen-Zertifikat derjenigen Zertifizierungsstelle, die auch tatsächlich solche Zertifikate ausstellt, vorhanden.
Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)
In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) „absichern“ sollte.
Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »Que faut-il prendre en compte lors de l'application des bases de référence de sécurité Microsoft ?
Im Rahmen von Härtungsmaßnahmen bietet es sich an, die von Microsoft herausgegebenen Microsoft Security Baselines auf die eigene Serverlandschaft anzuwenden.
Dies wird zwangsläufig Auswirkungen auf die PKI-Komponenten haben. Nachfolgend eine Übersicht über die zu erwartenden Auswirkungen und Gegenmaßnahmen.
Continuer la lecture de « Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten? »Autorisations de sécurité Windows nécessaires pour le Certificate Enrollment Policy Web Service (CEP)
Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CEP Komponenten.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP) »Aperçu des événements d'audit générés par l'organisme de certification
Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse »Principes fondamentaux et analyse des risques Paramètres de délégation
La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.
Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »Standard-Auditierungsregeln für Windows Server Betriebssysteme
Sobald eine Gruppenrichtlinie mit Auditeinstellungen aktiv ist, werden die Standard-Auditierungs-Regeln, die mit dem Betriebssystem vorkonfiguriert sind, ausgeschaltet und nur noch die explizit konfigurierten Auditeinstellungen angewendet.
Continuer la lecture de « Standard-Auditierungsregeln für Windows Server Betriebssysteme »Autorisations de sécurité Windows requises pour le service web d'enregistrement des certificats (CES)
Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CES.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES) »Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)
Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.
Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine
Vous trouverez ci-dessous une description de la manière de configurer l'inscription Web de l'autorité de certification (CAWE) afin que le service fonctionne sous un compte de domaine.
Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren »Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)
Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CAWE avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.
Continuer la lecture de « Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren »
Français 
Deutsch 
English