Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
L'audit des événements de sécurité doit être activé à deux endroits :
- Au niveau de l'autorité de certification. On définit ici les catégories d'événements qui doivent être consignées par l'autorité de certification. En option, il est possible d'activer une catégorie supplémentaire d'événements d'audit.
- Au niveau du système d'exploitation. Il s'agit ici de définir que les événements générés par l'autorité de certification sont écrits dans le journal de sécurité Windows.
Si un seul des deux paramètres est défini, aucun événement de sécurité n'est consigné pour l'autorité de certification.
Vérifier les paramètres d'audit au niveau de l'autorité de certification
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les paramètres d'audit peuvent être consultés et modifiés via la console de gestion de l'autorité de certification (certsrv.msc) dans les propriétés de l'autorité de certification, sous l'onglet „Auditing“.
Il est également possible d'interroger les paramètres d'audit avec la commande de ligne de commande suivante :
certutil -getreg CA\Auditfilter
Les paramètres d'audit sont enregistrés sous forme de masque de bits. Le nombre renvoyé peut être décomposé comme suit :
| Valeur | Signification | Active les événements |
|---|---|---|
| 0 | Désactiver l'audit | |
| 1 | Démarrer et arrêter les services de certificats Active Directory | 4880 et 4881 |
| 2 | Sauvegarder et restaurer la base de données CA | tbd. |
| 4 | Émettre et gérer les demandes de certificats | tbd. |
| 8 | Révoquer les certificats et publier les CRL | tbd. |
| 16 | Modifier les paramètres de sécurité de CA | tbd. |
| 32 | Stockage et récupération des clés archivées | tbd. |
| 64 | Modifier la configuration de l'AC | tbd. |
L'option „Start and stop Active Directory Certificate Services“ a pour effet de générer une somme de contrôle de la base de données de l'autorité de certification à chaque arrêt et démarrage du service de l'autorité de certification, ce qui peut entraîner des pertes de performance et des effets secondaires pour les bases de données importantes. De plus amples informations sont disponibles dans l'article „Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services“.
Activer la journalisation des événements d'audit concernant le traitement des modèles de certificats
Les événements concernant le traitement des modèles de certificats (ID d'événement 4898, 4899 et 4900) ne sont pas créés tant qu'un paramètre de configuration correspondant (le drapeau EDITF_AUDITCERTTEMPLATELOAD) a été défini sur l'autorité de certification.
certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Il est ensuite nécessaire de redémarrer le service d'autorité de certification pour appliquer les paramètres.
Activer les paramètres d'audit au niveau de l'autorité de certification
Outre la possibilité de configurer les paramètres d'audit via la console d'administration de l'autorité de certification, il est également possible de les définir à l'aide de la commande de ligne de commande suivante.
certutil -getreg CA\Auditfilter {Wert}
Après la modification, un redémarrage du service d'autorité de certification est nécessaire pour que les paramètres soient appliqués.
Vérifier les paramètres d'audit au niveau du système d'exploitation
Les paramètres d'audit au niveau du système d'exploitation peuvent être consultés à l'aide de la commande suivante. Dans la section „Object Access“, il y a une catégorie „Certification Services“.
auditpol.exe /get /category:*
Si les Certification Services sont configurés pour l'audit via une stratégie de groupe, les paramètres d'audit par défaut sont désactivés. Si aucun paramètre d'audit n'est défini via une stratégie de groupe parente (par exemple, l Normes de sécurité Microsoft), une stratégie de groupe correspondante pour une autorité de certification devrait donc également contenir les paramètres d'audit par défaut. Voir à ce sujet l'article „Règles d'audit standard pour les systèmes d'exploitation Windows Server„ .
Configurer les paramètres d'audit au niveau du système d'exploitation via la ligne de commande
Pour activer l'audit des événements de l'autorité de certification au niveau du système d'exploitation, la commande de ligne de commande suivante peut être utilisée :
auditpol /set /subcategory:"{0CCE9221-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable
Définir les paramètres d'audit par ligne de commande ne devrait toujours être considéré que comme une solution de secours, car ils peuvent être annulés à tout moment par une stratégie de groupe avec des paramètres différents. Cette méthode convient donc principalement aux autorités de certification hors ligne. Pour les autorités de certification intégrées à Active Directory, les paramètres d'audit doivent être définis de manière centralisée via une stratégie de groupe.
Configurer les paramètres d'audit au niveau du système d'exploitation via une stratégie de groupe (recommandé)
Les paramètres se trouvent sous „Computer Configuration“ - „Policies“ - „Windows Settings“ - „Security Settings“ - „Advanced Audit Policy Configuration“ - „Audit Policies“ - „Object Access“. Il y a là une catégorie „Audit Certification Services“ qui doit être définie sur „Success“ et „Failure“.
Si les Certification Services sont configurés pour l'audit via une stratégie de groupe, les paramètres d'audit par défaut sont désactivés. Si aucun paramètre d'audit n'est défini via une stratégie de groupe parente (par exemple, l Normes de sécurité Microsoft), une stratégie de groupe correspondante pour une autorité de certification devrait donc également contenir les paramètres d'audit par défaut. Voir à ce sujet l'article „Règles d'audit standard pour les systèmes d'exploitation Windows Server„ .
Contrôle des résultats
Une fois les paramètres d'audit activés aux deux endroits, l'autorité de certification devrait commencer à écrire les événements correspondants dans le journal de sécurité.
Liens complémentaires :
- Aperçu des événements d'audit générés par l'organisme de certification
- Règles d'audit standard pour les systèmes d'exploitation Windows Server
- Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services
- La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"
Français 
Deutsch 
English
Les commentaires sont fermés.