Détails de l'événement ID 4898 de la source Microsoft Windows Security Auditing

Auteur Uwe GradeneggerPublié le Catégories Événements, Sécurité, Autorité de certificationÉtiquettes , ,
Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4898 (0x1322)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Les Certificate Services ont chargé un modèle. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Security Descriptor : %8 Informations supplémentaires : Contrôleur de domaine : %6
Texte de l'événement (en allemand) :Les services de certificats ont chargé un modèle. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Description de la sécurité : %8 Informations supplémentaires : Contrôleur de domaine : %6

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

  • %1 : TemplateInternalName (win:UnicodeString)
  • %2 : TemplateVersion (win:UnicodeString)
  • %3 : TemplateSchemaVersion (win:UnicodeString)
  • %4 : TemplateOID (win:UnicodeString)
  • %5 : TemplateDSObjectFQDN (win:UnicodeString)
  • %6 : DCDNSName (win:UnicodeString)
  • %7 : TemplateContent (win:UnicodeString)
  • %8 : SecurityDescriptor (win:UnicodeString)

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Exemple d'événements

 Certificate Services loaded a template. 
  
 ADCSLaborNDES v100.11 (Schema V2) 
 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 
 CN=ADCSLaborNDES,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de 
  
 Template Information: 
 	Template Content:		
 flags = 0x20241 (131649)
   CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
   CT_FLAG_MACHINE_TYPE -- 0x40 (64)
   CT_FLAG_ADD_TEMPLATE_NAME -- 0x200 (512)
   CT_FLAG_IS_MODIFIED -- 0x20000 (131072)
 
 msPKI-Private-Key-Flag = 0x1010000 (16842752)
   CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0x0
   TEMPLATE_SERVER_VER_2003<   TEMPLATE_CLIENT_VER_XP< 
 msPKI-Certificate-Name-Flag = 0x1 (1)
   CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
 
 msPKI-Enrollment-Flag = 0x0 (0)
 
 msPKI-Template-Schema-Version = 2
 
 revision = 100
 
 msPKI-Template-Minor-Revision = 11
 
 msPKI-RA-Signature = 0
 
 msPKI-Minimal-Key-Size = 3072
 
 pKIDefaultKeySpec = 1
 
 pKIExpirationPeriod = 2 Years
 
 pKIOverlapPeriod = 6 Weeks
 
 cn = ADCSLaborNDES
 
 distinguishedName = ADCSLaborNDES
 
 msPKI-Cert-Template-OID =
   1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 ADCS Labor NDES
 
 pKIKeyUsage = a0
 
 displayName = ADCS Labor NDES
 
 templateDescription = Computer
 
 pKIExtendedKeyUsage =
   1.3.6.1.5.5.8.2.2 IP security IKE intermediate
 
 pKIDefaultCSPs =
   Microsoft RSA SChannel Cryptographic Provider
 
 msPKI-Supersede-Templates =
 
 msPKI-RA-Policies =
 
 msPKI-RA-Application-Policies =
 
 msPKI-Certificate-Policy =
 
 msPKI-Certificate-Application-Policy =
   1.3.6.1.5.5.8.2.2 IP security IKE intermediate
 
 pKICriticalExtensions =
   2.5.29.15 Key Usage
  
 	Security Descriptor:		O:S-1-5-21-1381186052-4247692386-135928078-500G:S-1-5-21-1381186052-4247692386-135928078-519D:PAI(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1109)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1162)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1171)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1172)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-519)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;AU)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1109)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1162)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1171)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1172)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-519)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-500)(A;;LCRPLORC;;;AU)
 
 Allow	S-1-5-21-1381186052-4247692386-135928078-1109
 	Enroll
 Allow	INTRA\rudi
 	Enroll
 Allow	S-1-5-21-1381186052-4247692386-135928078-1171
 	Enroll
 Allow	S-1-5-21-1381186052-4247692386-135928078-1172
 	Enroll
 Allow	INTRA\Domain Admins
 	Enroll
 Allow	INTRA\Enterprise Admins
 	Enroll
 Allow	NT AUTHORITY\Authenticated Users
 	Enroll
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1109
 	Read
 Allow(0x00020014)	INTRA\rudi
 	Read
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1171
 	Read
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1172
 	Read
 Allow(0x000f00ff)	INTRA\Domain Admins
 	Full Control
 Allow(0x000f00ff)	INTRA\Enterprise Admins
 	Full Control
 Allow(0x000f00ff)	INTRA\Administrator
 	Full Control
 Allow(0x00020094)	NT AUTHORITY\Authenticated Users
 	Read
  
  
 Additional Information: 
 	Domain Controller:	DC01.intra.adcslabor.de

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Pour que les autorités de certification enregistrent les modifications apportées aux paramètres de sécurité des modèles de certificats, la commande suivante doit être exécutée une seule fois sur chaque autorité de certification :

certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Aucune description n'a encore été rédigée à ce sujet.

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Aucune description n'a encore été rédigée à ce sujet.

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Moyen.

La raison en est la suivante

Alerte si des modèles qui ne sont pas attendus sur une CA sont chargés.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais