| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4885 (0x1315) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | The audit filter for Certificate Services changed. Filter: %1 |
| Ereignistext (deutsch): | Der Überwachungsfilter für die Zertifikatdienste wurde geändert. Filter: %1 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: AuditFilter (win:UnicodeString)
- %2: SubjectUserSid (win:SID)
- %3: SubjectUserName (win:UnicodeString)
- %4: SubjectDomainName (win:UnicodeString)
- %5: SubjectLogonId (win:HexInt64)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Hierzu wurde noch keine Beschreibung verfasst.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Es ist eher unwahrscheinlich, dass eine Registry-Änderung durch einen Angreifer erfolgen wird. Da dieser hierfür bereits administrative Rechte besitzen muss, gäbe es leichtere Wege, weiterführenden Schaden anzurichten. Wahrscheinlicher ist eine Konfigurationsänderung, welche jedoch vorab angemeldet worden sein sollte.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Schwerwiegend".
Die Begündung hierfür lautet:
May indicate an attacker disabling monitoring in an attempt to cover their tracks prior to certificate activities.
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
Deutsch 
English