| Source de l'événement : | Centre de distribution de clés Microsoft-Windows-Kerberos |
| ID de l'événement : | 19 (0x80000013) |
| Journal des événements : | Système |
| Type d'événement : | Avertissement |
| Texte de l'événement (en anglais) : | Cet événement indique qu'une tentative a été faite pour utiliser la connexion par carte à puce, mais que le KDC est incapable d'utiliser le protocole PKINIT en raison de l'absence d'un certificat approprié. |
| Texte de l'événement (en allemand) : | Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt. |
Exemple d'événements
This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Description
Diese Meldung tritt auf, wenn eine Anmeldung via Smartcard erfolgt, aber das Zertifikat des Domänencontrollers über keine der erforderlichen utilisation étendue des clés (Extended Key Usage) verfügt.
Das Ereignis tritt zusammen auf mit dem Ereignis Nr. 29.
Dies ist beispielsweise dann der Fall, wenn eine angepasste sicherheitsgehärtete Zertifikatvorlage für die Domänencontroller verwendet wird, welche keine Smartcard Anmeldung erlaubt.
Voir aussi l'article "La connexion via carte à puce échoue avec le message d'erreur "Signing in with a security device isn't supported for your account".„ .
Kann auch auftreten, wenn die Domänencontroller den Sperrstatus ihrer eigenen Zertifikate nicht prüfen können, etwa weil die Sperrlistenveteilpunkte offline sind.
Weitere Informationen
- Für mehr Informationen betreffend der Standard-Zertifikatvorlagen für Domänencontroller siehe Artikel „Aperçu des différentes générations de certificats de contrôleur de domaine„ .
- Für mehr Informationen betreffend Smartcard Anmeldung siehe Artikel „Modèles de certificats de contrôleur de domaine et inscription par carte à puce„ .
- Für die korrekte Konfiguration einer Zertifikatvorlage für Domänencontroller siehe Artikel „Configurer un modèle de certificat pour les contrôleurs de domaine„ .
Évaluation de la sécurité
L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).
Werden sicherheitsgehärtete Zertifikatvorlagen verwendet, welche die Anmeldung via Smartcard nicht erlauben, kann dieses Ereignis ein Hinweis auf einen unerlaubten Anmeldeversuch sowie auf Kompromittierung einer Zertifizierungsstelle hinweisen. Es wäre in diesem Fall hinsichtlich der Integrität als „kritisch“ zu bewerten.
Für eine Beschreibung der zugrundeliegenden Problematik siehe Artikel „Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce„ .
Liens complémentaires :
- Aperçu des événements Active Directory pertinents pour la PKI
- Aperçu des événements Windows générés par l'autorité de certification
- Aperçu des événements d'audit générés par l'organisme de certification
Sources externes
- Event ID 19 — KDC Certificate Availability (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.