Details zum Ereignis mit ID 4899 der Quelle Microsoft-Windows-Security-Auditing

Ereignisquelle:Microsoft-Windows-Security-Auditing
Ereignis-ID:4899 (0x1323)
Ereignisprotokoll:Security
Ereignistyp:Information
Ereignistext (englisch):A Certificate Services template was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %8 New Template Content: %7 Additional Information: Domain Controller: %6
Ereignistext (deutsch):Die Zertifikatdienstvorlage wurde aktualisiert. %1 v%2 (Schema V%3) %4 %5 Vorlageninformationen: Vorlageninhalt: %7 Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

  • %1: TemplateInternalName (win:UnicodeString)
  • %2: TemplateVersion (win:UnicodeString)
  • %3: TemplateSchemaVersion (win:UnicodeString)
  • %4: TemplateOID (win:UnicodeString)
  • %5: TemplateDSObjectFQDN (win:UnicodeString)
  • %6: DCDNSName (win:UnicodeString)
  • %7: NewTemplateContent (win:UnicodeString)
  • %8: OldTemplateContent (win:UnicodeString)

Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.

Beispiel-Ereignisse

 A Certificate Services template was updated. 

ADCSLaborBenutzer v101.81 (Schema V2)
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.4136173.9322655
CN=ADCSLaborBenutzer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de

Template Change Information:
Old Template Content:
msPKI-Template-Minor-Revision = 79

msPKI-Certificate-Policy =
1.3.6.1.4.1.311.21.8.6301991.2938543.412570.1725121.735828.231.12718143.3882922

New Template Content:
msPKI-Template-Minor-Revision = 81

msPKI-Certificate-Policy =


Additional Information:
Domain Controller: DC01.intra.adcslabor.de

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:

 certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD 

Für privilegierte Aktionen nutzbare Extended Key Usages zu einer Zertifikatvorlage hinzugefügt

Gelingt es einem Angreifer, Zertifikate auszustellen, die für Smartcard Logon nutzbar sind (dies ist mit den Extended Key Usages Smartcard Logon und Client Authentication möglich), könnte er andere Benutzer einschließlich administrativen Konten impersonieren.

Zertifikatvorlage wird verändert, sodass der Antragsteller die Identität vorgeben kann, und/oder die Genehmigung durch einen Zertifikatmanager wird deaktiviert

Üblicherweise werden die Identitäten in einem Zertifikat durch das Policy-Modul der Zertifizierungsstelle aus dem Active Directory gebaut, sodass der Antragsteller hierauf keinen Einfluss hat und eine Impersonierung anderer Identitäten nicht möglich ist. Es gibt jedoch Ausnahmefälle, in welchen dies erforderlich wäre (Web Server). Dem Policy Modul wird dies über setzen des Flag CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT in der Vorlage mitgeteilt. Üblicherweise sollten solche Zertifikatanforderungen dann manuell überprüft und genehmigt werden, was dem Policy Modul über das Flag CT_FLAG_PEND_ALL_REQUESTS mitgeteilt wird. Wird in einer Vorlage nun die Angabe der Identität durch den Antragsteller erlaubt oder die manuelle Überprüfung abgeschaltet, sollte dies alarmiert werden.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Gelingt es einem Angreifer, Zertifikate auszustellen, die für Smartcard Logon nutzbar sind (dies ist mit den Extended Key Usages Smartcard Logon und Client Authentication möglich), könnte er andere Benutzer einschließlich administrativen Konten impersonieren. Das Smartcard Logon Extended Key Usage sollte nur bei wenigen Vorlagen (insbesondere Windows Hello for Business) erforderlich sein. Das Client Authentication Extended Key Usage wird von Domain Controllern leider auch akzeptiert, und dieses kommt häufig auch in anderen Fällen vor. Daher ist hier mit einer höheren Anzahl von Alarmen zu rechnen.

Je nach Zertifikattyp könnte ein Angreifer sich erhöhte Rechte verschaffen, wenn er als Antragsteller die Identität eines anderen Benutzers angeben kann, und die Zertifizierungsstelle das Zertifikat direkt ausstellt. Die Wahrscheinlichkeit, dass ein Angreifer in Vorbereitung auf eine solche Aktion die Vorlagen-Berechtigungen verändert ts eher gering, eine falsch konfigurierte Vorlage kann jedoch durchaus ein attraktives Ziel zur Ausnutzung sein.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".

Weiterführende Links:

Externe Quellen

de_DEDeutsch