Nachfolgend eine Übersicht über die vom Onlineresponder erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.
Im Gegensatz zu betrieblichen Ereignissen, die oft unter dem Begriff "Monitoring" verstanden werden, handelt es sich bei der Auditierung für die Zertifizierungsstelle um die Konfiguration der Protokollierung von sicherheitsrelevanten Ereignissen.
Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".
Ereignisquellen
Auditereignisse werden immer in das Sicherheits-Protokoll geschrieben. Sie kommen immer von der Quell Microsoft-Windows-Security-Auditing. Die für die Zertifizierungsstelle relevanten Ereignisse haben die ID-Nummern 5120 bis 5127.
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Aktivieren der Auditierung
Die Auditierung muss an verschiedenen Stellen aktiviert werden:
- Auf Responder-Ebene
- Auf Betriebssystem-Ebene
Auditierung auf Responder-Ebene aktivieren
Die Auditierung auf Responder-Ebene wird über die Verwaltungskonsole für den Onlineresponder konfiguriert. Hierzu wird in der Baumansicht auf der linken Seite mit Rechts geklickt und "Responder Properties" gewählt.
In der Karteikarte "Audit" können nun die gewünschten Auditereignisse ausgewählt werden.
Die Auditeinstellungen werden in der Registrierung als Bitmaske im Wert "Auditfilter" unter folgendem Registrierungs-Schlüssel hinterlegt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
Die einzelnen Werte bedeuten hierbei folgendes:
Wert | Bedeutung |
---|---|
1 | Start/Stop the Online Responder Service |
2 | Changes to the Online Responder configuration |
4 | Requests submitted to the Online Responder |
8 | Changes to the Online Responder security settings |
Auditierung auf Betriebssystem-Ebene aktivieren
Analog zur Audit-Konfiguration für Zertifizierungsstellen muss auf Betriebssystemebene die Auditkonfiguration für "Certification Services" aktiviert sein. Vorzugsweise sollte dieses über eine Gruppenrichtlinie erfolgen, die auf alle Onlineresponder angewendet wird.
Ereignisse
ID | Ereignistext |
---|---|
5120 | OCSP Responder Service Started. |
5121 | OCSP Responder Service Stopped. |
5122 | A Configuration entry changed in the OCSP Responder Service. CA Configuration ID: %1 New Value: %2 |
5123 | A configuration entry changed in the OCSP Responder Service. Property Name: %1 New Value: %2 |
5124 | A security setting was updated on OCSP Responder Service. New Value: %1 |
5125 | A request was submitted to OCSP Responder Service. |
5126 | Signing Certificate was automatically updated by the OCSP Responder Service. CA Configuration ID: %1 New Signing Certificate Hash: %2 |
5127 | The OCSP Revocation Provider successfully updated the revocation information. CA Configuration ID: %1 Base CRL Number: %2 Base CRL This Update: %3 Base CRL Hash: %4 Delta CRL Number: %5 Delta CRL Indicator: %6 Delta CRL This Update: %7 Delta CRL Hash: %8 |
ID | Ereignistext |
---|---|
5058 | Key file operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Key File Operation Information: File Path: %9 Operation: %10 Return Code: %11 |
5059 | Key migration operation. Subject: Security ID: %1 Account Name: %2 Account Domain: %3 Logon ID: %4 Cryptographic Parameters: Provider Name: %5 Algorithm Name: %6 Key Name: %7 Key Type: %8 Additional Information: Operation: %9 Return Code: %10 |
Weiterführende Links
- Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse
- Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen
4 Gedanken zu „Übersicht über die vom Onlineresponder (OCSP) generierten Audit-Ereignisse“
Kommentare sind geschlossen.