| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 4899 (0x1323) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Un modèle de services de certificats a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Template Change Information : Old Template Content : %8 New Template Content : %7 Additional Information : Domain Controller : %6 |
| Texte de l'événement (en allemand) : | Le modèle de service de certificat a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Description de la sécurité : %8 Informations supplémentaires : Contrôleur de domaine : %6 |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : TemplateInternalName (win:UnicodeString)
- %2 : TemplateVersion (win:UnicodeString)
- %3 : TemplateSchemaVersion (win:UnicodeString)
- %4 : TemplateOID (win:UnicodeString)
- %5 : TemplateDSObjectFQDN (win:UnicodeString)
- %6 : DCDNSName (win:UnicodeString)
- %7 : NewTemplateContent (win:UnicodeString)
- %8 : OldTemplateContent (win:UnicodeString)
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Exemple d'événements
A Certificate Services template was updated.
ADCSLaborBenutzer v101.81 (Schema V2)
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655
CN=ADCSLaborBenutzer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de
Template Change Information:
Old Template Content:
msPKI-Template-Minor-Revision = 79
msPKI-Certificate-Policy =
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.12718143.3882922
New Template Content:
msPKI-Template-Minor-Revision = 81
msPKI-Certificate-Policy =
Additional Information:
Domain Controller: DC01.intra.adcslabor.de
Description
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour que les autorités de certification enregistrent les modifications apportées aux paramètres de sécurité des modèles de certificats, la commande suivante doit être exécutée une seule fois sur chaque autorité de certification :
certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Ajout d'Extended Key Usages à un modèle de certificat, utilisables pour des actions privilégiées
Si un attaquant parvient à émettre des certificats utilisables pour Smartcard Logon (ce qui est possible avec les Extended Key Usages Smartcard Logon et Client Authentication), il pourrait impersoner d'autres utilisateurs, y compris des comptes administratifs.
le modèle de certificat est modifié pour permettre au demandeur de spécifier l'identité et/ou l'approbation par un gestionnaire de certificats est désactivée
En général, les identités dans un certificat sont construites par le module Policy de l'autorité de certification à partir de l'Active Directory, de sorte que le demandeur n'a pas d'influence sur ce point et qu'une impersonnalisation d'autres identités n'est pas possible. Il existe cependant des cas exceptionnels où cela serait nécessaire (serveur web). Le module Policy en est informé par l'activation du drapeau CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT dans le modèle. Normalement, ces demandes de certificat doivent être vérifiées et approuvées manuellement, ce qui est signalé au module de politique par le drapeau CT_FLAG_PEND_ALL_REQUESTS. Si l'identité du demandeur est autorisée dans un modèle ou si la vérification manuelle est désactivée, cela doit être signalé.
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Si un attaquant parvient à émettre des certificats utilisables pour Smartcard Logon (ce qui est possible avec les Extended Key Usages Smartcard Logon et Client Authentication), il pourrait impersoner d'autres utilisateurs, y compris des comptes administratifs. Le Smartcard Logon Extended Key Usage ne devrait être nécessaire que pour quelques modèles (notamment Windows Hello for Business). Le Client Authentication Extended Key Usage est malheureusement aussi accepté par les contrôleurs de domaine, et cela se produit souvent dans d'autres cas. Il faut donc s'attendre ici à un nombre plus élevé d'alertes.
Selon le type de certificat, un attaquant pourrait obtenir des droits accrus s'il peut indiquer l'identité d'un autre utilisateur comme demandeur et si l'autorité de certification délivre directement le certificat. La probabilité qu'un attaquant modifie les autorisations du modèle en préparation d'une telle action ts est plutôt faible, mais un modèle mal configuré peut tout à fait constituer une cible intéressante à exploiter.
Évaluation par Microsoft
Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Moyen.
Liens complémentaires :
- Aperçu des événements d'audit générés par l'organisme de certification
- Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
Français 
Deutsch 
English