Details zum Ereignis mit ID 5125 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:	Microsoft-Windows-Security-Auditing
Ereignis-ID:	5125 (0x1405)
Ereignisprotokoll:	Security
Ereignistyp:	Information
Ereignistext (englisch):	A request was submitted to OCSP Responder Service.
Ereignistext (deutsch):	An den OCSP-Antwortdienst wird eine Anforderung übermittelt.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

%1: SubjectUserSid (win:SID)
%2: SubjectUserName (win:UnicodeString)
%3: SubjectDomainName (win:UnicodeString)
%4: SubjectLogonId (win:HexInt64)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

A request was submitted to OCSP Responder Service.
Certificate Serial Number: 73000000ab6b883da4b84844b80000000000ab
Issuer CA Name: CN=ADCS Labor Issuing CA 1, OU=IT, O=ADCS Labor, L=Munich, S=Bavaria, C=DE
Revocation Status: Good

A request was submitted to OCSP Responder Service.
Certificate Serial Number: 1940dca79adf43b64a043106ed6f3571
Issuer CA Name: CN=ADCS Labor Issuing CA 1, OU=IT, O=ADCS Labor, L=Munich, S=Bavaria, C=DE
Revocation Status: Unknown

Beschreibung

Dieses Ereignis wird nur ausgelöst, wenn die Audit Protokollierung für den Onlineresponder aktiviert und darauf konfiguriert ist, Anfragen an den Responder zu protokollieren.

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Revocation Status: Good

Wird generiert, wenn der die angefragte Seriennummer bekannt ist und nicht auf einer gültigen Sperrliste eingetragen ist. Ohne deterministisches "Good" hat diese Antwort keine Aussagekraft darüber, ob das Zertifikat überhaupt von der Zertifizierungsstelle ausgestellt wurde.

Revocation Status: Revoked

Wird generiert, wenn der die angefragte Seriennummer bekannt ist und in einer gültigen Sperrliste gefunden wurde.

Revocation Status: Unknown

Wird generiert, wenn die angefragte Seriennummer dem Onlineresponder nicht bekannt ist.

In Verbindung mit dem deterministischen "Good" kann dies ein Hinweis darauf sein, dass ein Zertifikat im Umlauf ist, das nicht durch die Zertifizierungsstelle signiert wurde, beispielsweise, wenn deren privater Schlüssel kompromittiert wurde.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Ist der Onlineresponder für ein "Deterministic Good" konfiguriert, kann ein Ereignis mit Status "Unknown" darauf hindeuten, dass ein nicht von einer der konfigurierten Zertifizierungsstellen ausgestelltes Zertifikat angefragt wurde.

Ein weiteres Indiz kann die Seriennummer des Zertifikats sein. Die Seriennummern einer von einer Microsoft Zertifizierungsstelle ausgestellten Zertifikate haben immer einen gemeinsamen Präfix (siehe auch Artikel "Wie wird die Seriennummer eines Zertifikats gebildet?"). Weicht der Präfix der Seriennummer des geprüften Zertifikats ab, kann dies ebenfalls darauf hindeuten, dass ein nicht von einer der konfigurierten Zertifizierungsstellen ausgestelltes Zertifikat angefragt wurde.

Auch sollte alarmiert werden, wenn Zertifikate mit dem Status "Revoked" (zu häufig) angefragt werden.