| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4896 (0x1320) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Une ou plusieurs rangées ont été supprimées de la base de données des certificats. Table ID : %1 Filtre : %2 Rows Supprimé : %3 |
| Texte de l'événement (en allemand) : | Au moins une ligne a été supprimée de la base de données des certificats. ID de la table : %1 Filtre : %2 Lignes supprimées : %3 |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : TableId (win:UnicodeString)
- %2 : filtre (win:UnicodeString)
- %3 : RowsDeleted (win:UnicodeString)
- %4 : SubjectUserSid (win:SID)
- %5 : SubjectUserName (win:UnicodeString)
- %6 : SubjectDomainName (win:UnicodeString)
- %7 : SubjectLogonId (win:HexInt64)
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Exemple d'événements
One or more rows have been deleted from the certificate database.
Table ID: 0
Filter: 12
Rows Deleted: 1
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Il n'y a généralement aucune raison de supprimer des enregistrements de la base de données CA. La suppression de lignes individuelles de la base de données CA pourrait indiquer une tentative de dissimulation de manipulation.
Une raison valable pour une suppression pourrait être de retirer les certificats expirés de la base de données de l'autorité de certification afin de libérer de l'espace. Voir également à ce sujet l'article „Suppression (en masse) d'entrées dans la base de données des autorités de certification (certificats, exigences, listes de révocation)„ .
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
En général, il n'y a aucune raison de supprimer des enregistrements de la base de données CA. Dans de rares cas, cela peut être nécessaire en raison d'une croissance extrême de la base de données. Cependant, un tel événement est généralement considéré comme critique et doit faire l'objet d'une alerte.
Les enregistrements concernés peuvent être déterminés à partir des événements précédents. En particulier, ce serait Événement 4887 (Certificate Services approved a certificate request and issued a certificate.) est utile ici.
Évaluation par Microsoft
Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc dont le niveau de gravité est „Grave“.
La raison en est la suivante
Peut indiquer un attaquant couvrant leurs pistes après l'émission de certificats.
Liens complémentaires :
- Aperçu des événements d'audit générés par l'organisme de certification
- Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
Sources externes
Français 
Deutsch 
English
Les commentaires sont fermés.