| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4896 (0x1320) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | One or more rows have been deleted from the certificate database. Table ID: %1 Filter: %2 Rows Deleted: %3 |
| Ereignistext (deutsch): | Mindestens eine Zeile wurde aus der Zertifikatdatenbank gelöscht. Tabellen-ID: %1 Filter: %2 Gelöschte Zeilen: %3 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: TableId (win:UnicodeString)
- %2: Filter (win:UnicodeString)
- %3: RowsDeleted (win:UnicodeString)
- %4: SubjectUserSid (win:SID)
- %5: SubjectUserName (win:UnicodeString)
- %6: SubjectDomainName (win:UnicodeString)
- %7: SubjectLogonId (win:HexInt64)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beispiel-Ereignisse
One or more rows have been deleted from the certificate database.
Table ID: 0
Filter: 12
Rows Deleted: 1
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Üblicherweise gibt es keinen Grund, Datensätze aus der CA-Datenbank zu löschen. Das Löschen einzelner Zeilen aus der CA-Datenbank könnte ein Anzeichen dafür sein, dass ein Manipulationsversuch verheimlicht werden soll.
Ein valider Grund für eine Löschung könnte sein, abgelaufene Zertifikate aus der Zertifizierungsstellen-Datenbank zu entfernen, um Platz freizugeben. Siehe hierzu auch Artikel "(Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten)".
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Üblicherweise gibt es keinen Grund, Datensätze aus der CA-Datenbank zu löschen. In seltenen Fällen kann dies aufgrund extremen Datenbankwachstums erforderlich sein. Üblicherweise ist ein solches Ereignis aber als kritisch zu bewerten und sollte entsprechend alarmiert werden.
Welche Datensätze betroffen sind kann aus den vorangegangenen Ereignissen ermittelt werden. Insbesondere wäre das Ereignis 4887 (Certificate Services approved a certificate request and issued a certificate.) hier hilfreich.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Schwerwiegend".
Die Begündung hierfür lautet:
May indicate an attacker covering their tracks after issuing certificates.
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
Deutsch 
English
2 Gedanken zu „Details zum Ereignis mit ID 4896 der Quelle Microsoft-Windows-Security-Auditing“
Kommentare sind geschlossen.