Details zum Ereignis mit ID 4880 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4880 (0x1310)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):Certificate Services started. Certificate Database Hash: %1 Private Key Usage Count: %2 CA Certificate Hash: %3 CA Public Key Hash: %4
Ereignistext (deutsch):Die Zertifikatdienste wurden gestartet. Zertifikatdatenbankhash: %1 Verwendungsanzahl des privaten Schlüssels: %2 Zertifizierungshash der Zertifizierungsstelle: %3 Hash für öffentliche Schlüssel der Zertifizierungsstelle: %4

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: CertificateDatabaseHash (win:UnicodeString)
  • %2: PrivateKeyUsageCount (win:UnicodeString)
  • %3: CACertificateHash (win:UnicodeString)
  • %4: CAPublicKeyHash (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

Certificate Services started. 

Certificate Database Hash: 47 6d ba 0d f9 50 9c 56 37 8d 1a cf f4 04 82 82 43 41 35 69 16 d5 3e fe 98 06 e2 31 d4 1b 3a 08
Private Key Usage Count: 0
CA Certificate Hash: a4 0e 27 c7 04 60 d0 cd 0a f7 de 40 88 10 58 69 ad 90 af 60
CA Public Key Hash: b2 9a 5c 06 5f 93 92 63 81 2c cc f0 46 68 4f 07 66 c2 ef 7d

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieses Ereignis wird protokolliert, wenn die Option "Start and stop Active Directory Certificate Services" in den Audit-Einstellungen der Zertifizierungsstelle aktiviert ist.

Private Key Counting

Wird ein Hardware Security Modul (HSM) verwendet, welches das Zählen der Zugriffe auf den privaten Schlüssel (Private Key Counting) unterstützt, und ist diese Funktion in der capolicy.inf der Zertifizierungsstelle konfiguriert, wird unter "Private Key Usage Count" die Anzahl der entsprechenden Zugriffe protokolliert. Dieser Wert kann mit dem aus dem letzten Ereignis Nr. 4881 verglichen werden, um eventuelle Zugriffe auf den privaten Schlüssel der Zertifizierungsstelle abseits des Zertifizierungsstellen-Dienstes erkennen zu können.

Prüfsumme der Zertifizierungsstellen-Datenbank

Ist diese Option aktiviert, wird eine Prüfsumme der Zertifizierungsstellen-Datenbank beim Starten und Beenden des Zertifizierungsstellen-Dienstes erzeugt. Die Prüfsummen dieser beiden Ereignisse können miteinander verglichen werden, um Offline-Manipulationen an der Zertifizierungsstellen-Datenbank zu erkennen.

Dies kann allerdings zu Performance-Problemen bei der Zertifizierungsstelle führen. Siehe Artikel "Performanceprobleme bei Auditierung von "Start and stop Active Directory Certificate Services"".

Wird ein NDES-Server installiert und die Zertifizierungsstelle hat eine sehr große Datenbank, kann die Installation deshalb sogar abbrechen. Hierzu siehe Artikel "Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"".

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Ändert sich die Prüfsumme zwischen Beenden und Starten der Zertifizierungsstellen-Datenbank, kann dies in Hinweis auf eine Manipulation der Zertifizierungsstellen-Datenbank sein.

Es gibt auch legitime Gründe, warum sich die Prüfsumme der Zertifizierungsstellen-Datenbank zwischen Beenden und Starten des Dienstes verändert hat, beispielsweise wenn die Datenbank defragmentiert wurde. Siehe hierzu auch Artikel "Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank".

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

Externe Quellen

de_DEDeutsch