Détails de l'événement ID 4881 de la source Microsoft Windows Security Auditing

Auteur Uwe GradeneggerPublié le Catégories Événements, Sécurité, Autorité de certificationÉtiquettes
Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4881 (0x1311)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Certificate Services stopped. Hachage de la base de données des certificats : %1 Compte d'utilisation de la clé privée : %2 Hachage du certificat CA : %3 Hachage de la clé publique CA : %4
Texte de l'événement (en allemand) :Les services de certificat ont été arrêtés. Hachage de la base de données des certificats : %1 Nombre d'utilisation de la clé privée : %2 Hachage de l'autorité de certification : %3 Hachage de la clé publique de l'autorité de certification : %4

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

  • %1 : CertificateDatabaseHash (win:UnicodeString)
  • %2 : PrivateKeyUsageCount (win:UnicodeString)
  • %3 : CACertificateHash (win:UnicodeString)
  • %4 : CAPublicKeyHash (win:UnicodeString)

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Exemple d'événements

Certificate Services stopped.
Certificate Database Hash: 23 5f 0c 21 8d c0 d7 ff ed 94 c6 ac 1c 3e 0e 28 df 0d e9 59 b1 1d 29 0a 77 2a c8 b8 36 d6 a0 c6
Private Key Usage Count: 0
CA Certificate Hash: a4 0e 27 c7 04 60 d0 cd 0a f7 de 40 88 10 58 69 ad 90 af 60
CA Public Key Hash: b2 9a 5c 06 5f 93 92 63 81 2c cc f0 46 68 4f 07 66 c2 ef 7d

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Comptage de clés privées

Si un module de sécurité matériel (HSM) qui prend en charge le comptage des accès à la clé privée (Private Key Counting) est utilisé et que cette fonction est capolicy.inf de l'autorité de certification, est configuré de manière analogue au Événement n° 4880 sous „Private Key Usage Count“, le nombre d'accès correspondants est consigné.

Somme de contrôle de la base de données de l'autorité de certification

Cet événement est consigné si l'option „Start and stop Active Directory Certificate Services“ est activée dans les paramètres d'audit de l'autorité de certification.

Si cette option est activée, une somme de contrôle de la base de données de l'autorité de certification est générée au démarrage et à l'arrêt du service de l'autorité de certification. Les sommes de contrôle de ces deux événements peuvent être comparées entre elles afin de détecter les manipulations hors ligne de la base de données de l'autorité de certification.

Cela peut toutefois entraîner des problèmes de performance pour l'autorité de certification. Voir l'article „Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services„ .

Si un serveur NDES est installé et que l'autorité de certification dispose d'une très grande base de données, l'installation peut même être interrompue. Voir à ce sujet l'article „La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"„ .

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Si la somme de contrôle change entre l'arrêt et le démarrage de la base de données de l'autorité de certification, cela peut indiquer une manipulation de la base de données de l'autorité de certification.

Il existe également des raisons légitimes pour lesquelles la somme de contrôle de la base de données de l'autorité de certification a changé entre l'arrêt et le démarrage du service, par exemple si la base de données a été défragmentée. Voir également à ce sujet l'article „Compactage (défragmentation) de la base de données de l'autorité de certification„ .

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais