Details zum Ereignis mit ID 4898 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4898 (0x1322)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):Certificate Services loaded a template. %1 v%2 (Schema V%3) %4 %5 Template Information: Template Content: %7 Security Descriptor: %8 Additional Information: Domain Controller: %6
Ereignistext (deutsch):Die Zertifikatdienste haben eine Vorlage geladen. %1 v%2 (Schema V%3) %4 %5 Vorlageninformationen: Vorlageninhalt: %7 Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: TemplateInternalName (win:UnicodeString)
  • %2: TemplateVersion (win:UnicodeString)
  • %3: TemplateSchemaVersion (win:UnicodeString)
  • %4: TemplateOID (win:UnicodeString)
  • %5: TemplateDSObjectFQDN (win:UnicodeString)
  • %6: DCDNSName (win:UnicodeString)
  • %7: TemplateContent (win:UnicodeString)
  • %8: SecurityDescriptor (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 Certificate Services loaded a template. 

ADCSLaborNDES v100.11 (Schema V2)
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002
CN=ADCSLaborNDES,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de

Template Information:
Template Content:
flags = 0x20241 (131649)
CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1
CT_FLAG_MACHINE_TYPE -- 0x40 (64)
CT_FLAG_ADD_TEMPLATE_NAME -- 0x200 (512)
CT_FLAG_IS_MODIFIED -- 0x20000 (131072)

msPKI-Private-Key-Flag = 0x1010000 (16842752)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0x0
TEMPLATE_SERVER_VER_2003< TEMPLATE_CLIENT_VER_XP<
msPKI-Certificate-Name-Flag = 0x1 (1)
CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT -- 0x1

msPKI-Enrollment-Flag = 0x0 (0)

msPKI-Template-Schema-Version = 2

revision = 100

msPKI-Template-Minor-Revision = 11

msPKI-RA-Signature = 0

msPKI-Minimal-Key-Size = 3072

pKIDefaultKeySpec = 1

pKIExpirationPeriod = 2 Years

pKIOverlapPeriod = 6 Weeks

cn = ADCSLaborNDES

distinguishedName = ADCSLaborNDES

msPKI-Cert-Template-OID =
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.3300970.10789002 ADCS Labor NDES

pKIKeyUsage = a0

displayName = ADCS Labor NDES

templateDescription = Computer

pKIExtendedKeyUsage =
1.3.6.1.5.5.8.2.2 IP security IKE intermediate

pKIDefaultCSPs =
Microsoft RSA SChannel Cryptographic Provider

msPKI-Supersede-Templates =

msPKI-RA-Policies =

msPKI-RA-Application-Policies =

msPKI-Certificate-Policy =

msPKI-Certificate-Application-Policy =
1.3.6.1.5.5.8.2.2 IP security IKE intermediate

pKICriticalExtensions =
2.5.29.15 Key Usage

Security Descriptor: O:S-1-5-21-1381186052-4247692386-135928078-500G:S-1-5-21-1381186052-4247692386-135928078-519D:PAI(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1109)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1162)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1171)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-1172)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;S-1-5-21-1381186052-4247692386-135928078-519)(OA;;CR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;AU)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1109)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1162)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1171)(A;;LCRPRC;;;S-1-5-21-1381186052-4247692386-135928078-1172)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-519)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1381186052-4247692386-135928078-500)(A;;LCRPLORC;;;AU)

Allow S-1-5-21-1381186052-4247692386-135928078-1109
Enroll
Allow INTRA\rudi
Enroll
Allow S-1-5-21-1381186052-4247692386-135928078-1171
Enroll
Allow S-1-5-21-1381186052-4247692386-135928078-1172
Enroll
Allow INTRA\Domain Admins
Enroll
Allow INTRA\Enterprise Admins
Enroll
Allow NT AUTHORITY\Authenticated Users
Enroll
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1109
Read
Allow(0x00020014) INTRA\rudi
Read
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1171
Read
Allow(0x00020014) S-1-5-21-1381186052-4247692386-135928078-1172
Read
Allow(0x000f00ff) INTRA\Domain Admins
Full Control
Allow(0x000f00ff) INTRA\Enterprise Admins
Full Control
Allow(0x000f00ff) INTRA\Administrator
Full Control
Allow(0x00020094) NT AUTHORITY\Authenticated Users
Read


Additional Information:
Domain Controller: DC01.intra.adcslabor.de

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:

certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Hierzu wurde noch keine Beschreibung verfasst.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Hierzu wurde noch keine Beschreibung verfasst.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Die Begündung hierfür lautet:

Alert if templates that are not expected on a CA are loaded.

Weiterführende Links:

Externe Quellen

Ein Gedanke zu „Details zum Ereignis mit ID 4898 der Quelle Microsoft-Windows-Security-Auditing“

Kommentare sind geschlossen.

de_DEDeutsch