| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4870 (0x1306) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services revoked a certificate. Serial Number: %1 Reason: %2 |
| Ereignistext (deutsch): | Die Zertifikatdienste haben ein Zertifikat gesperrt. Seriennummer: %1 Ursache: %2 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: CertificateSerialNumber (win:UnicodeString)
- %2: RevocationReason (win:UnicodeString)
- %3: SubjectUserSid (win:SID)
- %4: SubjectUserName (win:UnicodeString)
- %5: SubjectDomainName (win:UnicodeString)
- %6: SubjectLogonId (win:HexInt64)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beispiel-Ereignisse
Certificate Services revoked a certificate. Serial Number: 730000005b712608f19c99f66700000000005b Reason: 6
Certificate Services revoked a certificate. Serial Number: 730000005b712608f19c99f66700000000005b Reason: -1
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Die im Ereignis enthaltenen Grundcodes bedeuten:
| Code | Bezeichnung | Beschreibung |
|---|---|---|
| 0 | Unspecified | Dies ist die Standardeinstellung und gibt an, dass es keinen speziellen Grund für den Widerruf gibt. |
| 1 | Key Compromise | Der private Schlüssel eines Zertifikats wurde entwendet oder anderweitig unbefugten Dritten bekannt. |
| 2 | CA Compromise | Der private Schlüssel der Zertifizierungsstelle wurde entwendet oder anderweitig unbefugten Dritten bekannt. |
| 3 | Affiliation Changed | Wenn sich der Inhalt des Zertifikats (z.B. der Name des Benutzers) geändert hat, muss ein neues Zertifikat ausgestellt werden. |
| 4 | Superseded | Das widerrufene Zertifikat wurde durch ein neues Zertifikat ersetzt. |
| 5 | Cessation of Operation | Der Betrieb des zum Zertifikate gehörenden Dienstes wurde eingestellt, etwa weil es einen neuen Dienst unter anderem Namen gibt. |
| 6 | Certificate Hold | Das Zertifikat wird vorübergebend widerrufen. Dieser Sperrungstyp ist der einzige, bei dem die Sperrung nachträglich wieder rückgängig gemacht werden kann. |
| 8 | Remove from CRL | Wurde ein Zertifikat mit Grund "Certificate Hold" widerrufen und werden Deltasperrlisten verwendet, wird das entsperrte Zertifikat mit diesem Code in der Deltasperrliste geführt bis der Eintrag in der Haupt-Sperrliste entfällt. |
| -1 | Unrevoke | Wurde ein Zertifikat mit Grund "Certificate Hold" widerrufen, kann mit diesem Code eine Entsperrung per Kommandozeile erfolgen. Ebenso wird im Audit-Ereignis 4870 die Rückgängigmachung einer Zertifikatsperrung mit diesem Code kenntlich gemacht. |
Hierzu wurde noch keine Beschreibung verfasst.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Hierzu wurde noch keine Beschreibung verfasst.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
Deutsch 
English