Details zum Ereignis mit ID 4896 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4896 (0x1320)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):One or more rows have been deleted from the certificate database. Table ID: %1 Filter: %2 Rows Deleted: %3
Ereignistext (deutsch):Mindestens eine Zeile wurde aus der Zertifikatdatenbank gelöscht. Tabellen-ID: %1 Filter: %2 Gelöschte Zeilen: %3

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: TableId (win:UnicodeString)
  • %2: Filter (win:UnicodeString)
  • %3: RowsDeleted (win:UnicodeString)
  • %4: SubjectUserSid (win:SID)
  • %5: SubjectUserName (win:UnicodeString)
  • %6: SubjectDomainName (win:UnicodeString)
  • %7: SubjectLogonId (win:HexInt64)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

     One or more rows have been deleted from the certificate database. 

Table ID: 0
Filter: 12
Rows Deleted: 1

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Üblicherweise gibt es keinen Grund, Datensätze aus der CA-Datenbank zu löschen. Das Löschen einzelner Zeilen aus der CA-Datenbank könnte ein Anzeichen dafür sein, dass ein Manipulationsversuch verheimlicht werden soll.

Ein valider Grund für eine Löschung könnte sein, abgelaufene Zertifikate aus der Zertifizierungsstellen-Datenbank zu entfernen, um Platz freizugeben. Siehe hierzu auch Artikel "(Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten)".

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Üblicherweise gibt es keinen Grund, Datensätze aus der CA-Datenbank zu löschen. In seltenen Fällen kann dies aufgrund extremen Datenbankwachstums erforderlich sein. Üblicherweise ist ein solches Ereignis aber als kritisch zu bewerten und sollte entsprechend alarmiert werden.

Welche Datensätze betroffen sind kann aus den vorangegangenen Ereignissen ermittelt werden. Insbesondere wäre das Ereignis 4887 (Certificate Services approved a certificate request and issued a certificate.) hier hilfreich.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Schwerwiegend".

Die Begündung hierfür lautet:

May indicate an attacker covering their tracks after issuing certificates.

Weiterführende Links:

Externe Quellen

de_DEDeutsch