Vous trouverez ci-dessous un aperçu des événements d'audit générés par l'autorité de certification dans l'observateur d'événements Windows.
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Sources d'événements
Les événements d'audit sont toujours écrits dans le journal de sécurité. Ils proviennent toujours de la source Microsoft-Windows-Security-Auditing. Les événements pertinents pour l'autorité de certification portent les numéros d'identification 4868 à 4900.
Activer l'audit
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les événements d'audit ne sont écrits qu'une fois que les autorités de certification ont été configurées à cet effet. Pour une description de la procédure, voir l'article „Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification„ .
Activer les événements d'audit avancés
Les événements 4898 à 4900 ne sont générés que si un réglage de configuration correspondant (le drapeau EDITF_AUDITCERTTEMPLATELOAD) a été défini sur l'autorité de certification.
certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Il est ensuite nécessaire de redémarrer le service d'autorité de certification pour appliquer les paramètres.
Événements
| ID | Texte de l'événement |
|---|---|
| 4868 | Le gestionnaire de certificats a refusé une demande de certificat en attente. ID de la demande : %1 |
| 4869 | Certificate Services a reçu une demande de certificat resoumis. ID de la demande : %1 |
| 4870 | Certificate Services a révoqué un certificat. Numéro de série : %1 Raison : %2 |
| 4871 | Certificate Services a reçu une demande de publication de la liste de révocation des certificats (CRL). Prochaine mise à jour : %1 Publication de la base : %2 Publication du delta : %3 |
| 4872 | Certificate Services a publié la liste de révocation des certificats (CRL). Base CRL : %1 Numéro CRL : %2 Conteneur de clé : %3 Publication suivante : %4 Publier URLs : %5 |
| 4873 | Une extension de requête de certificat a été modifiée. ID de la demande : %1 Nom : %2 Type : %3 Drapeaux : %4 Données : %5 |
| 4874 | Un ou plusieurs attributs de demande de certificat ont été modifiés. ID de la demande : %1 Attributs : %2 |
| 4875 | Les services de certification ont reçu une demande d'arrêt. |
| 4876 | Sauvegarde des services de certificats démarrée. Type de sauvegarde : %1 |
| 4877 | Sauvegarde des services de certificats terminée. |
| 4878 | Certificate Services restore started. |
| 4879 | Certificate Services restore completed. |
| 4880 | Services de certificats lancés. Hachage de la base de données des certificats : %1 Compte d'utilisation de la clé privée : %2 Hachage du certificat CA : %3 Hachage de la clé publique CA : %4 |
| 4881 | Certificate Services stopped. Hachage de la base de données des certificats : %1 Compte d'utilisation de la clé privée : %2 Hachage du certificat CA : %3 Hachage de la clé publique CA : %4 |
| 4882 | Les autorisations de sécurité pour les services de certificats ont été modifiées. %1 |
| 4883 | Les Services de certificats ont récupéré une clé archivée. ID de la demande : %1 |
| 4884 | Certificate Services a importé un certificat dans sa base de données. Certificat : %1 ID de la demande : %2 |
| 4885 | Le filtre d'audit pour Certificate Services a été modifié. Filtre : %1 |
| 4886 | Certificate Services a reçu une demande de certificat. ID de la demande : %1 Requérant : %2 Attributs : %3 |
| 4887 | Certificate Services a approuvé une demande de certificat et a délivré un certificat. Request ID : %1 Requérant : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6 |
| 4888 | Les services de certification ont refusé une demande de certificat. Request ID : %1 Requérant : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6 |
| 4889 | Les services de certificats définissent le statut d'une demande de certificat comme étant en attente. ID de la demande : %1 Demandeur : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6 |
| 4890 | Les paramètres du gestionnaire de certificats pour Certificate Services ont été modifiés. Activer : %1 %2 |
| 4891 | Une entrée de configuration a été modifiée dans Certificate Services. Nœud : %1 Entrée : %2 Valeur : %3 |
| 4892 | Une propriété de Certificate Services a été modifiée. Propriété : %1 Index : %2 Type : %3 Valeur : %4 |
| 4893 | Les Services de certificats ont archivé une clé. ID de la demande : %1 Requérant : %2 KRA Hashes : %3 |
| 4894 | Les Services de certificats ont importé et archivé une clé. ID de la demande : %1 |
| 4895 | Certificate Services a publié le certificat CA aux services de domaine Active Directory. Hachage du certificat : %1 Valid From : %2 Valid To : %3 |
| 4896 | Une ou plusieurs rangées ont été supprimées de la base de données des certificats. Table ID : %1 Filtre : %2 Rows Supprimé : %3 |
| 4897 | Séparation des rôles activée : %1 |
| 4898 | Les Certificate Services ont chargé un modèle. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Security Descriptor : %8 Informations supplémentaires : Contrôleur de domaine : %6 |
| 4899 | Un modèle de services de certificats a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Template Change Information : Old Template Content : %8 New Template Content : %7 Additional Information : Domain Controller : %6 |
| 4900 | Certificate Services template security was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %9 New Template Content: %7 Old Security Descriptor: %10 New Security Descriptor: %8 Additional Information: Domain Controller: %6 |
Dans la mesure où l'autorité de certification utilise des clés logicielles, ces événements sont également intéressants :
| ID | Texte de l'événement |
|---|---|
| 5058 | Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11 |
| 5059 | Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10 |
Français 
Deutsch 
English
Les commentaires sont fermés.