| Source de l'événement : | Audit de sécurité de Microsoft Windows |
| ID de l'événement : | 5125 (0x1405) |
| Journal des événements : | Sécurité |
| Type d'événement : | Information |
| Texte de l'événement (en anglais) : | Une demande a été soumise au service de réponse de l'OCSP. |
| Texte de l'événement (en allemand) : | Une demande est transmise au service de réponse OCSP. |
Paramètres
Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :
- %1 : SubjectUserSid (win:SID)
- %2 : SubjectUserName (win:UnicodeString)
- %3 : SubjectDomainName (win:UnicodeString)
- %4 : SubjectLogonId (win:HexInt64)
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Exemple d'événements
A request was submitted to OCSP Responder Service. Certificate Serial Number: 73000000ab6b883da4b84844b80000000000ab Issuer CA Name: CN=ADCS Labor Issuing CA 1, OU=IT, O=ADCS Labor, L=Munich, S=Bavaria, C=DE Revocation Status: Good
A request was submitted to OCSP Responder Service. Certificate Serial Number: 1940dca79adf43b64a043106ed6f3571 Issuer CA Name: CN=ADCS Labor Issuing CA 1, OU=IT, O=ADCS Labor, L=Munich, S=Bavaria, C=DE Revocation Status: Unknown
Description
Cet événement n'est déclenché que si la Protocole d'audit est activé pour le répondeur en ligne et configuré pour consigner les demandes adressées au répondeur.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Statut de révocation : Bon
Est généré lorsque le numéro de série demandé est connu et n'est pas inscrit sur une liste de révocation valable. Sans „Good“ déterministe, cette réponse ne permet pas de savoir si le certificat a été délivré par l'autorité de certification.
Statut de révocation : Revoked
Est généré si le numéro de série demandé est connu et a été trouvé dans une liste de blocage valable.
Statut de révocation : Inconnu
Est généré lorsque le numéro de série demandé n'est pas connu du répondeur en ligne.
Associé au „good“ déterministe, cela peut indiquer qu'il y a un certificat en circulation qui est n'a pas été signé par l'autorité de certification, Les utilisateurs peuvent être amenés à utiliser des clés de chiffrement, par exemple si leur clé privée a été compromise.
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Le répondeur en ligne est-il destiné à un „Bon déterministe“Si l'autorité de certification est configurée avec le statut „inconnu“, un événement avec le statut "inconnu" peut indiquer qu'un certificat non émis par l'une des autorités de certification configurées a été demandé.
Un autre indice peut être le numéro de série du certificat. Les numéros de série d'un certificat délivré par une autorité de certification Microsoft ont toujours un préfixe commun (voir aussi l'article „Comment est formé le numéro de série d'un certificat ?„). Si le préfixe du numéro de série du certificat vérifié est différent, cela peut également indiquer qu'un certificat non émis par l'une des autorités de certification configurées a été demandé.
Il convient également d'être alerté lorsque des certificats sont demandés avec le statut „Revoked“ (trop souvent).
Liens complémentaires :
- Aperçu des événements d'audit générés par l'organisme de certification
- Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)
- Signer des certificats en contournant l'autorité de certification
Sources externes
- Le service Online Responder ne renvoie pas un GOOD déterministe pour tous les certificats non inclus dans la CRL (Microsoft)
- Un correctif est disponible qui enregistre plus d'informations dans l'événement ID 5125 pour une réponse OCSP dans Windows Server 2012 et Windows Server 2008 R2 SP1 (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.