Voici un aperçu des événements d'audit générés par le répondeur en ligne dans l'Observateur d'événements de Windows.
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Sources d'événements
Les événements d'audit sont toujours écrits dans le journal de sécurité. Ils proviennent toujours de la source Microsoft-Windows-Security-Auditing. Les événements pertinents pour l'autorité de certification portent les numéros d'identification 5120 à 5127.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Activer l'audit
L'audit doit être activé à différents endroits :
- Au niveau des répondants
- Au niveau du système d'exploitation
Activer l'audit au niveau du répondeur
L'audit au niveau du répondeur est configuré via la console d'administration pour le répondeur en ligne. Pour ce faire, il faut cliquer avec le bouton droit de la souris dans l'arborescence sur le côté gauche et sélectionner „Responder Properties“.
Dans l'onglet „Audit“, il est maintenant possible de sélectionner les événements d'audit souhaités.
Les paramètres d'audit sont enregistrés dans le registre sous forme de masque binaire dans la valeur „Filtre d'audit“ sous la clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
Les valeurs individuelles ont la signification suivante :
| Valeur | Signification |
|---|---|
| 1 | Démarrer/arrêter le service de réponse en ligne |
| 2 | Modifications de la configuration du répondeur en ligne |
| 4 | Demandes soumises au répondeur en ligne |
| 8 | Modifications des paramètres de sécurité du répondeur en ligne |
Activer l'audit au niveau du système d'exploitation
Par analogie avec la Configuration d'audit pour les autorités de certification la configuration d'audit pour les „Certification Services“ doit être activée au niveau du système d'exploitation. Il est préférable de le faire via une stratégie de groupe qui s'applique à tous les répondeurs en ligne.
Événements
| ID | Texte de l'événement |
|---|---|
| 5120 | Le service de réponse OCSP est lancé. |
| 5121 | OCSP Responder Service Stopped. |
| 5122 | Une entrée de configuration a été modifiée dans le service de réponse OCSP. ID de configuration CA : %1 Nouvelle valeur : %2 |
| 5123 | Une modification de la configuration dans le service de réponse OCSP. Nom de la propriété : %1 Nouvelle valeur : %2 |
| 5124 | Un paramètre de sécurité a été mis à jour sur le service de réponse OCSP. Nouvelle valeur : %1 |
| 5125 | Une demande a été soumise au service de réponse de l'OCSP. |
| 5126 | Le certificat de signature a été automatiquement mis à jour par le service répondeur de l'OCSP. ID de configuration CA : %1 Hachage du nouveau certificat de signature : %2 |
| 5127 | Le fournisseur de révocation OCSP a mis à jour avec succès les informations de révocation. CA Configuration ID : %1 Base CRL Number : %2 Base CRL This Update : %3 Base CRL Hash : %4 Delta CRL Number : %5 Delta CRL Indicator : %6 Delta CRL This Update : %7 Delta CRL Hash : %8 |
| ID | Texte de l'événement |
|---|---|
| 5058 | Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11 |
| 5059 | Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10 |
Liens complémentaires
- Aperçu des événements d'audit générés par l'organisme de certification
- Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification
Français 
Deutsch 
English
Les commentaires sont fermés.