| Ereignisquelle: | Microsoft-Windows-OnlineResponder |
| Ereignis-ID: | 22 (0x16) |
| Ereignisprotokoll: | Application |
| Ereignistyp: | Fehler |
| Symbolischer Name: | MSG_E_POSSIBLE_DENIAL_OF_SERVICE_ATTACK |
| Ereignistext (englisch): | OCSP Responder Services did not process an extremely long request from %1. This may indicate a denial-of-service attack. If the request was rejected in error, modify the MaxIncomingMessageSize property for the service. Unless exhaustive logging is enabled, this error will only be logged every 20 minutes. |
| Ereignistext (deutsch): | Die OCSP-Responder-Dienste haben eine extrem lange Anforderung von %1 nicht verarbeitet. Dies kann auf einen Denial-of-Service-Angriff hinweisen. Ändern Sie die Eigenschaft "MaxIncomingMessageSize" für den Dienst, wenn die Anforderung fälschlicherweise abgelehnt wurde. Sofern keine ausführliche Protokollierung aktiviert ist, wird dieser Fehler nur alle 20 Minuten protokolliert. |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: RequestName (win:UnicodeString)
Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Microsoft schreibt im Installing, Configuring, and Troubleshooting the Online Responder (Microsoft’s OCSP Responder) Whitepaper zu diesem Ereignis:
It is recommended that the originator of the request is located as this type of event might point to a malicious user or application trying to compromise the Online Responder. The MaxIncomingMessageSize value can be modified by creating a new registry DWORD value under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder registry hive and setting the value to the maximum number of bytes you would like the Online Responder to be able to process.
Sicherheitsbewertung
Hierzu wurde noch keine Beschreibung verfasst.
Weiterführende Links:
- Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Deutsch 
English