Details zum Ereignis mit ID 4886 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4886 (0x1316)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):Certificate Services received a certificate request. Request ID: %1 Requester: %2 Attributes: %3
Ereignistext (deutsch):Die Zertifikatdienste haben eine Zertifikatanforderung empfangen. Anforderungs-ID: %1 Antragsteller: %2 Attribute: %3

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: RequestId (win:UnicodeString)
  • %2: Requester (win:UnicodeString)
  • %3: Attributes (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 Certificate Services received a certificate request. 

Request ID: 125
Requester: INTRA\CA06$
Attributes:
cdc:DC01.intra.adcslabor.de
rmd:CA06.intra.adcslabor.de

ccm:CA06.intra.adcslabor.de

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das Ereignis wird protokolliert, wenn eine Zertifikatanforderung an die Zertifizierungsstelle gesendet wird und die Option "Issue and manage certificate requests" in den Auditierungsoptionen der Zertifizierungsstelle aktiviert ist.

Jede Zertifikatanforderung, egal ob ausgestellt oder nicht, wird in der Datenbank der Zertifizierungsstelle abgespeichert. Jeder Benutzer im Netzwerk kann Anfragen an die Zertifizierungsstelle senden, diese werden, wenn keine Rechte vorhanden sind, abgelehnt und protokolliert.

Die zusätzlich protokollierten Attribute haben folgende Bedeutung:

AbkürzungNameBeschreibung
cdcCert Domain ControllerEin optionales Attribut in der Zertifikatanforderung. Beschreibt den vom Antragstteller verwendeten Domänencontroller. Üblicherweise vorhanden, wenn die Zertifikatanforderung von einem Windows Computer aus erstellt wurde.
rmdRequest Machine DNS NameEin optionales Attribut in der Zertifikatanforderung. Beschreibt den DNS-Namen des Computers, von dem die Zertifikatanforderung gesendet wurde (auch wenn ein Benutzerzertifikat beantragt wird).
Üblicherweise vorhanden, wenn die Zertifikatanforderung von einem Windows Computer aus erstellt wurde.
ccmCert Client MachineDNS-Name des Computers, welcher (ICertRequest::Submit) die DCOM Verbindung zur Zertifizierungsstelle hergestellt hat (kann vom rmd abweichen, z.B. wenn die Zertifikatregistrierungs-Webdienste vorgeschaltet sind, oder wenn eine Zertifikatanforderung manuell eingereicht wird). DIeses Attribut scheint nicht durch den Client bestimmt zu werden, sondern durch die Zertifizierungsstelle.

Die Attribute "cdc" und "rmd" können (sofern konfiguriert) vom Windows Default Policy Modul der Zertifizierungsstelle verwendet werden, um Fehler bei der Zertifikatausstellung aufgrund von Replikationslatenzen zu vermeiden. Angenommen, ein Client-Computer wird neu installiert und das Computerkonto ist noch nicht vom Domänencontroller am Standort des Client an den der Zertifizierungsstelle repliziert, kann die Zertifizierungsstelle den in "cdc" angegebenen Domänencontroller kontaktieren und die Information auf diese Weise ermitteln.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Bei einer entsprechend hohen Anzahl an Anforderungen kann es neben der verursachten Systemlast zu großem Datenbankwachstum führen und z.B. die Festplatte des Systems füllen, was zu einem Ausfall der Zertifizierungsstelle und u.U. der angebundenen IT-Dienste führen kann.

Als Faustregel gilt: 1000 Zertifikate entsprechen ungefähr 16 Mbyte Speicherplatz. 1000 Zertifikate in der Sekunde entsprächen demnach ca. 1,4 TByte am Tag.

Das Angriffsszenario ist eher unwahrscheinlich, könnte jedoch zu einem Ausfall der Zertifizierungsstelle und von ihr abhängigen IT-Diensten durch eine volle Festplatte führen.

Die zusätzlich in der Zertifikatanforderun enthaltenen Attribute "rmd" und "ccm" können hilfreich sein, die Quelle eines solchen Angriffs zu ermitteln und/oder die Erkennungsregeln präziser zu formulieren.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

de_DEDeutsch