| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4880 (0x1310) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Services de certificats lancés. Hachage de la base de données des certificats : %1 Compte d'utilisation de la clé privée : %2 Hachage du certificat CA : %3 Hachage de la clé publique CA : %4 |
| Texte de l'événement (en allemand) : | Les services de certificat ont été lancés. Hachage de la base de données des certificats : %1 Nombre d'utilisation de la clé privée : %2 Hachage de l'autorité de certification : %3 Hachage de la clé publique de l'autorité de certification : %4 |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : CertificateDatabaseHash (win:UnicodeString)
- %2 : PrivateKeyUsageCount (win:UnicodeString)
- %3 : CACertificateHash (win:UnicodeString)
- %4 : CAPublicKeyHash (win:UnicodeString)
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Exemple d'événements
Certificate Services started.
Certificate Database Hash: 47 6d ba 0d f9 50 9c 56 37 8d 1a cf f4 04 82 82 43 41 35 69 16 d5 3e fe 98 06 e2 31 d4 1b 3a 08
Private Key Usage Count: 0
CA Certificate Hash: a4 0e 27 c7 04 60 d0 cd 0a f7 de 40 88 10 58 69 ad 90 af 60
CA Public Key Hash: b2 9a 5c 06 5f 93 92 63 81 2c cc f0 46 68 4f 07 66 c2 ef 7d
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Cet événement est consigné si l'option „Start and stop Active Directory Certificate Services“ est activée dans les paramètres d'audit de l'autorité de certification.
Comptage de clés privées
Si un module de sécurité matériel (HSM) qui prend en charge le comptage des accès à la clé privée (Private Key Counting) est utilisé et que cette fonction est capolicy.inf de l'autorité de certification est configurée, le nombre d'accès correspondant est consigné sous „Private Key Usage Count“. Cette valeur peut être comparée à celle du dernier Événement n° 4881 afin de pouvoir détecter d'éventuels accès à la clé privée de l'autorité de certification en dehors du service de l'autorité de certification.
Somme de contrôle de la base de données de l'autorité de certification
Si cette option est activée, une somme de contrôle de la base de données de l'autorité de certification est générée au démarrage et à l'arrêt du service de l'autorité de certification. Les sommes de contrôle de ces deux événements peuvent être comparées entre elles afin de détecter les manipulations hors ligne de la base de données de l'autorité de certification.
Cela peut toutefois entraîner des problèmes de performance pour l'autorité de certification. Voir l'article „Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services„ .
Si un serveur NDES est installé et que l'autorité de certification dispose d'une très grande base de données, l'installation peut même être interrompue. Voir à ce sujet l'article „La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"„ .
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Si la somme de contrôle change entre l'arrêt et le démarrage de la base de données de l'autorité de certification, cela peut indiquer une manipulation de la base de données de l'autorité de certification.
Il existe également des raisons légitimes pour lesquelles la somme de contrôle de la base de données de l'autorité de certification a changé entre l'arrêt et le démarrage du service, par exemple si la base de données a été défragmentée. Voir également à ce sujet l'article „Compactage (défragmentation) de la base de données de l'autorité de certification„ .
Évaluation par Microsoft
Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.
Liens complémentaires :
- Aperçu des événements d'audit générés par l'organisme de certification
- Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
Français 
Deutsch 
English
Les commentaires sont fermés.