Details zum Ereignis mit ID 4898 der Quelle Microsoft-Windows-Security-Auditing

Autor Uwe GradeneggerVeröffentlicht am Kategorien Ereignisse, Security, ZertifizierungsstelleSchlagwörter
Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4898 (0x1322)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):Certificate Services loaded a template. %1 v%2 (Schema V%3) %4 %5 Template Information: Template Content: %7 Security Descriptor: %8 Additional Information: Domain Controller: %6
Ereignistext (deutsch):Die Zertifikatdienste haben eine Vorlage geladen. %1 v%2 (Schema V%3) %4 %5 Vorlageninformationen: Vorlageninhalt: %7 Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: TemplateInternalName (win:UnicodeString)
  • %2: TemplateVersion (win:UnicodeString)
  • %3: TemplateSchemaVersion (win:UnicodeString)
  • %4: TemplateOID (win:UnicodeString)
  • %5: TemplateDSObjectFQDN (win:UnicodeString)
  • %6: DCDNSName (win:UnicodeString)
  • %7: TemplateContent (win:UnicodeString)
  • %8: SecurityDescriptor (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 Certificate Services loaded a template. 
  
 ADCSLaborNDES v100.11 (Schema V2) 
 1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 
 CN=ADCSLaborNDES,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de 
  
 Template Information: 
 	Template Content:		
 flags = 0x20241 (131649)
   CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
   CT_FLAG_MACHINE_TYPE -- 0x40 (64)
   CT_FLAG_ADD_TEMPLATE_NAME -- 0x200 (512)
   CT_FLAG_IS_MODIFIED -- 0x20000 (131072)
 
 msPKI-Private-Key-Flag = 0x1010000 (16842752)
   CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0x0
   TEMPLATE_SERVER_VER_2003<   TEMPLATE_CLIENT_VER_XP< 
 msPKI-Certificate-Name-Flag = 0x1 (1)
   CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
 
 msPKI-Enrollment-Flag = 0x0 (0)
 
 msPKI-Template-Schema-Version = 2
 
 revision = 100
 
 msPKI-Template-Minor-Revision = 11
 
 msPKI-RA-Signature = 0
 
 msPKI-Minimal-Key-Size = 3072
 
 pKIDefaultKeySpec = 1
 
 pKIExpirationPeriod = 2 Years
 
 pKIOverlapPeriod = 6 Weeks
 
 cn = ADCSLaborNDES
 
 distinguishedName = ADCSLaborNDES
 
 msPKI-Cert-Template-OID =
   1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 ADCS Labor NDES
 
 pKIKeyUsage = a0
 
 displayName = ADCS Labor NDES
 
 templateDescription = Computer
 
 pKIExtendedKeyUsage =
   1.3.6.1.5.5.8.2.2 IP security IKE intermediate
 
 pKIDefaultCSPs =
   Microsoft RSA SChannel Cryptographic Provider
 
 msPKI-Supersede-Templates =
 
 msPKI-RA-Policies =
 
 msPKI-RA-Application-Policies =
 
 msPKI-Certificate-Policy =
 
 msPKI-Certificate-Application-Policy =
   1.3.6.1.5.5.8.2.2 IP security IKE intermediate
 
 pKICriticalExtensions =
   2.5.29.15 Key Usage
  
 	Security Descriptor:		O:S-1-5-21-1381186052-4247692386-135928078-500G:S-1-5-21-1381186052-4247692386-135928078-519D:PAI(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1109)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1162)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1171)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1172)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-519)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;AU)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1109)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1162)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1171)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1172)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-519)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-500)(A;;LCRPLORC;;;AU)
 
 Allow	S-1-5-21-1381186052-4247692386-135928078-1109
 	Enroll
 Allow	INTRA\rudi
 	Enroll
 Allow	S-1-5-21-1381186052-4247692386-135928078-1171
 	Enroll
 Allow	S-1-5-21-1381186052-4247692386-135928078-1172
 	Enroll
 Allow	INTRA\Domain Admins
 	Enroll
 Allow	INTRA\Enterprise Admins
 	Enroll
 Allow	NT AUTHORITY\Authenticated Users
 	Enroll
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1109
 	Read
 Allow(0x00020014)	INTRA\rudi
 	Read
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1171
 	Read
 Allow(0x00020014)	S-1-5-21-1381186052-4247692386-135928078-1172
 	Read
 Allow(0x000f00ff)	INTRA\Domain Admins
 	Full Control
 Allow(0x000f00ff)	INTRA\Enterprise Admins
 	Full Control
 Allow(0x000f00ff)	INTRA\Administrator
 	Full Control
 Allow(0x00020094)	NT AUTHORITY\Authenticated Users
 	Read
  
  
 Additional Information: 
 	Domain Controller:	DC01.intra.adcslabor.de

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:

certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Hierzu wurde noch keine Beschreibung verfasst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Die Begündung hierfür lautet:

Alert if templates that are not expected on a CA are loaded.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Details zum Ereignis mit ID 4898 der Quelle Microsoft-Windows-Security-Auditing“

  1. Pingback: Details zum Ereignis mit ID 76 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch