Die Einrichtung einer Überwachung ist ein zentraler Aspekt jeder Sicherheitsarchitektur. Auch für ADCS ist die Protokollierung wichtig. Sie können die Überwachung von Active Directory-Zertifikatdiensten mithilfe der Anweisungen in diesem Artikel aktivieren und einrichten.
Das Wichtigste zuerst!
Der erste Schritt besteht darin, sicherzustellen, dass die Überwachung auf Ihren ADCS-Servern aktiviert ist.
Führen Sie dazu den Befehl auditpol aus und stellen Sie sicher, dass die erweiterte Überwachung für „Registry“ und „Certificate Services“ aktiviert ist.
Moment mal, was ist Auditpol?
Windows erfasst Protokolle aller Art, die uns möglicherweise nicht weiterhelfen und zu Verwirrung und Konzentrationsverlust führen können. Um dem entgegenzuwirken, hat Microsoft auditpol eingeführt. Auditpol dient dazu, diese Protokolle detailliert auf Benutzerebene zu kategorisieren.
Denken Sie daran, die Gruppenrichtlinie nach der Aktivierung zu aktualisieren!
Nachfolgend sind einige weitere Beispiele für die Verwendung von auditpol aufgeführt:
Beispiel 1
Beispiel 2
In unserem ADCS-Anwendungsfall werden wir Folgendes verwenden:
auditpol /get /category:*
Der nächste Schritt besteht darin, Überwachung mit automatisierten das ADCS-Snap-In.
Um dies zu tun, ausführen die Folgende Schritte auf dem ADCS Server.
- Öffnen Sie den Server-Manager
- Wählen Sie Extras -> Zertifikat Autorität
- Der rechten Maustaste auf die CA-Name und wählen Eigenschaften.
- Auswählen Monitor
- Ermöglichen falls angefordert Überwachung Einstellungen
- Backing auf und Wiederherstellen die CA-Datenbank
- CA-Konfiguration ändern
- CA-Sicherheitseinstellungen ändern
- Ausgabe , flächendeckende Gesundheitsprogramme Zertifikatanfragen
- Zertifikate widerrufen und CRLs veröffentlichen
- Speicherung , Abrufen archivierte Schlüssel
- Schon ab , Einstellung die ADCS
Der nächste Schritt besteht darin, die Änderungen an der Zertifikatvorlage mit dem certutil zu aktivieren. Befehl.
certutil –setreg Policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Einige Änderungen können direkt über die Registrierung vorgenommen werden, so Registrierungsprüfung sollte sein freigegebenDafür müssen Sie Folgendes tun:
- Öffne regedit auf dem ADCS-Server
- Finde unterhalb des Registers Wesentliche
- HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\
- Rechts sofort klicken on Konfiguration und wählen Berechtigungen
- Klicken Sie auf Details
- Auswählen Überwachung und klicken Sie auf Hinzufügen
- Legen Sie den Principal auf „Authentifizierte Benutzer“ fest und konfigurieren Sie Folgendes Berechtigungen:
- kompensieren Wert
- erstellen Unterschlüssel
- Feuer auslöschend
- schreiben DAC
- schreiben Eigentümer
- besuch Kontrolle
Starten Sie den Server neu und sehen Sie sich Ihre Änderungen an. Nach dem Neustart werden Ihnen verschiedene Ereignis-IDs im Sicherheitsprotokoll angezeigt.
Starten Sie Ihren Server neu und überprüfen Sie die Änderungen. Nach dem Neustart sollten Sie in Ihren Sicherheitsprotokollen andere Ereignis-IDs sehen.
Jetzt haben wir die ADCS Auditierung läuft.
Sie können die Überwachungsprotokolle auch über Azure Arc und Azure Sentinel mithilfe von „Datensammlerregeln“ filtern. MS Azure.
