| Ereignisquelle: | Microsoft-Windows-Security-Auditing |
| Ereignis-ID: | 4900 (0x1324) |
| Ereignisprotokoll: | Security |
| Ereignistyp: | Information |
| Ereignistext (englisch): | Certificate Services template security was updated. %1 v%2 (Schema V%3) %4 %5 Template Change Information: Old Template Content: %9 New Template Content: %7 Old Security Descriptor: %10 New Security Descriptor: %8 Additional Information: Domain Controller: %6 |
| Ereignistext (deutsch): | Die Sicherheit der Zertifikatdienstvorlage wurde aktualisiert. Die Zertifikatdienste haben eine Vorlage geladen. %1 v%2 (Schema V%3) %4 %5 Informationen zur Vorlagenänderung: Alter Vorlageninhalt: %9 Neuer Vorlageninhalt: %7 Alte Sicherheitsbeschreibung: %10 Neue Sicherheitsbeschreibung: %8 Zusätzliche Informationen: Domänencontroller: %6 |
Parameter
Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:
- %1: TemplateInternalName (win:UnicodeString)
- %2: TemplateVersion (win:UnicodeString)
- %3: TemplateSchemaVersion (win:UnicodeString)
- %4: TemplateOID (win:UnicodeString)
- %5: TemplateDSObjectFQDN (win:UnicodeString)
- %6: DCDNSName (win:UnicodeString)
- %7: NewTemplateContent (win:UnicodeString)
- %8: NewSecurityDescriptor (win:UnicodeString)
- %9: OldTemplateContent (win:UnicodeString)
- %10: OldSecurityDescriptor (win:UnicodeString)
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Beschreibung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Damit die Zertifizierungsstellen die Änderungen der Sicherheitseinstellung an Zertifikatvorlagen protokollieren, muss einmalig der folgende Befehl auf jeder Zertifizierungsstelle ausgeführt werden:
certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Nach der Inbetriebnahme einer Zertifikatvorlage sollte es nur selten notwendig sein, die Sicherheitseinstellungen zu verändern. Ein Angreifer könnte, die entsprechenden Rechte vorausgesetzt, eine Hintertür über Schreib- oder Beantragungsberechtigungen einrichten.
Sicherheitsbewertung
Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
Dieses Ereignis sollte im laufenden Betrieb nur selten auftreten. Eine Änderung an den Berechtigungen der Zertifikatvorlagen sollte über eine Change erfolgen. Sofern die Schreibrechte auf Zertifikatvorlagen nicht sauber konfiguriert sind, könnte dies jedoch unberechtigen Benutzern die Möglichkeit einräumen, Zertifikate im Namen anderer Benutzer zu erhalten. Je nach Schweregrad kann eine Kompromittierung des Active Directory hierdurch möglich sein.
Bewertung durch Microsoft
Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Mittel".
Weiterführende Links:
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse
Externe Quellen
- Securing Public Key Infrastructure (PKI) (Microsoft)
- Securing PKI: Monitoring Public Key Infrastructure (Microsoft)
Deutsch 
English