Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Die Auditierung von Sicherheitsereignissen muss an zwei Stellen aktiviert werden:

Auf Zertifizierungsstellen-Ebene. Hier wird festgelegt, welche Ereigniskategorien von der Zertifizierungsstelle protokolliert werden sollen. Optional kann eine zusätzliche Katrgorie von Audit-Ereignissen aktiviert werden.
Auf Betriebssystem-Ebene. Hier wird festgelegt, dass die von der Zertifizierungsstelle generierten Ereignisse in das Windows-Sicherheitsprotokoll geschrieben werden.

Wird nur eine der beiden Einstellungen vorgenommen, werden keine Sicherheitsereignisse für die Zertifizierungsstelle protokolliert.

Auditeinstellungen auf Zertifizierungsstellen-Ebene überprüfen

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Die Auditeinstellungen können über die Zertifizierungsstellen-Verwaltungskonsole (certsrv.msc) in den Eigenschaften der Zertifizierungsstelle, im Karteireiter „Auditing“ eingesehen und verändert werden.

Es ist auch möglich, die Audit-Einstellungen mit dem folgenden Kommandozeilen-Befehl abzufragen:

certutil -getreg CA\Auditfilter

Die Auditeinstellungen sind als Bitmaske gespeichert. Die zurückgegebene Zahl kann wie folgt aufgeschlüsselt werden:

Valeur	Signification	Aktiviert Ereignisse
0	Disable Auditing
1	Start and stop Active Directory Certificate Services	4880 et 4881
2	Back up and restore the CA Database	tbd.
4	Issue and manage certificate requests	tbd.
8	Revoke certificates and publish CRLs	tbd.
16	Change CA security settings	tbd.
32	Store and retrieve archived keys	tbd.
64	Change CA configuration	tbd.

Die Option „Start and stop Active Directory Certificate Services“ bewirkt, dass mit jedem Beenden und Starten des Zertifizierungsstellen-Dienstes eine Prüfsumme der Zertifizierungsstellen-Datenbank erzeugt wird, was bei größeren Datenbanken zu Leistungseinbußen und Nebenwirkungen führen kann. Nähere Informationen sind im Artikel „Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services“ zu finden.

Protokollierung von Auditereignissen betreffend der Verarbeitung von Zertifikatvorlagen aktivieren

Die Ereignisse betreffend der Verarbeitung von Zertifikatvorlagen (Ereignis-ID 4898, 4899 et 4900) werden erst erzeugt, wenn eine entsprechende Konfigurationseinstellung (das Flag EDITF_AUDITCERTTEMPLATELOAD) auf der Zertifizierungsstelle gesetzt wurde.

certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Anschließend ist ein Neustart des Zertifizierungsstellen-Dienstes erforderlich, um die Einstellungen anzuwenden.

Auditeinstellungen auf Zertifizierungsstellen-Ebene aktivieren

Neben der Möglichkeit, die Auditeinstellungen über die Zertifizierungsstellen-Verwaltungskonsole zu konfigurieren, können sie auch mit dem folgenden Kommandozeilen-Befehl gesetzt werden.

certutil -getreg CA\Auditfilter {Wert}

Nach der Änderung ist ein Neustart des Zertifizierungsstellen-Dienstes nötig, damit die Einstellungen angewendet werden.

Auditeinstellungen auf Betriebssystem-Ebene überprüfen

Die Auditeinstellungen auf Betriebssystem-Ebene können mit folgendem Befehl abgefragt werden. Im Bereich „Object Access“ gibt es eine Kategorie „Certification Services“.

auditpol.exe /get /category:*

Werden die Certification Services per Gruppenrichtlinie für Auditierung konfiguriert, werden die Standard-Auditeinstellungen deaktiviert. Wenn keine Auditierungseinstellung über eine übergeordnete Gruppenrichtlinie (beispielsweise die Microsoft Security Baselines) gesetzt werden, sollte eine entsprechende Gruppenrichtlinie für eine Zertifizierungsstelle daher auch die Standard-Auditeinstellungen enthalten. Siehe hierzu Artikel „Standard-Auditierungsregeln für Windows Server Betriebssysteme„ .

Auditeinstellungen auf Betriebssystem-Ebene per Kommandozeile konfigurieren

Um die Auditierung für Zertifizierungsstellen-Ereignisse auf Betriebssystem-Ebene zu aktivieren, kann folgender Kommandozeilen-Befehl verwendet werden:

auditpol /set /subcategory:"{0CCE9221-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Die Auditierungseinstellungen per Kommandozeile zu setzen, sollte immer nur als Notlösung verstanden werden, da sie jederzeit durch eine Gruppenrichtlinie mit abweichenden Einstellungen wieder aufgehoben werden können. Diese Methode eignet sich also vorwiegend für Offline-Zertifizierungsstellen. Bei Active Directory integrierten Zertifizierungsstellen sollten die Auditeinstellungen zentral über eine Gruppenrichtlinie gesetzt werden.

Auditeinstellungen auf Betriebssystem-Ebene per Gruppenrichtlinie konfigurieren (empfohlen)

Die Einstellungen befinden sich unter „Computer Configuration“ – „Policies“ – „Windows Settings“ – „Security Settings“ – „Advanced Audit Policy Configuration“ – „Audit Policies“ – „Object Access“. Dort gibt es eine Kategorie „Audit Certification Services“, welche auf „Success“ und „Failure“ gesetzt werden sollte.

Contrôle des résultats

Nachdem die Auditeinstellungen an beiden Stellen aktiviert wurden, sollte die Zertifizierungsstelle beginnen, entsprechende Ereignisse in das Sicherheitsprotokoll zu schreiben.