| Ereignisquelle: | Microsoft-Windows-Kerberos-Key-Distribution-Center |
| Ereignis-ID: | 19 (0x80000013) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Warnung |
| Ereignistext (englisch): | This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate. |
| Ereignistext (deutsch): | Dieses Ereignis zeigt an, dass ein Versuch unternommen wurde, die Smartcard-Anmeldung zu verwenden, aber der KDC kann das PKINIT-Protokoll nicht verwenden, weil ein geeignetes Zertifikat fehlt. |
Beispiel-Ereignisse
This event indicates an attempt was made to use smartcard logon, but the KDC is unable to use the PKINIT protocol because it is missing a suitable certificate.
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Beschreibung
Diese Meldung tritt auf, wenn eine Anmeldung via Smartcard erfolgt, aber das Zertifikat des Domänencontrollers über keine der erforderlichen erweiterten Schlüsselverwendungen (Extended Key Usage) verfügt.
Das Ereignis tritt zusammen auf mit dem Ereignis Nr. 29.
Dies ist beispielsweise dann der Fall, wenn eine angepasste sicherheitsgehärtete Zertifikatvorlage für die Domänencontroller verwendet wird, welche keine Smartcard Anmeldung erlaubt.
Siehe auch Artikel "Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."".
Kann auch auftreten, wenn die Domänencontroller den Sperrstatus ihrer eigenen Zertifikate nicht prüfen können, etwa weil die Sperrlistenveteilpunkte offline sind.
Weitere Informationen
- Für mehr Informationen betreffend der Standard-Zertifikatvorlagen für Domänencontroller siehe Artikel "Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten".
- Für mehr Informationen betreffend Smartcard Anmeldung siehe Artikel "Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung".
- Für die korrekte Konfiguration einer Zertifikatvorlage für Domänencontroller siehe Artikel "Konfigurieren einer Zertifikatvorlage für Domänencontroller".
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Werden sicherheitsgehärtete Zertifikatvorlagen verwendet, welche die Anmeldung via Smartcard nicht erlauben, kann dieses Ereignis ein Hinweis auf einen unerlaubten Anmeldeversuch sowie auf Kompromittierung einer Zertifizierungsstelle hinweisen. Es wäre in diesem Fall hinsichtlich der Integrität als "kritisch" zu bewerten.
Für eine Beschreibung der zugrundeliegenden Problematik siehe Artikel "Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus".
Weiterführende Links:
- Übersicht über die für die PKI relevanten Active Directory Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
Externe Quellen
- Event ID 19 — KDC Certificate Availability (Microsoft)
Deutsch 
English
4 Gedanken zu „Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center“
Kommentare sind geschlossen.