Configurar una auditoría es un aspecto clave de cualquier arquitectura de seguridad. Para ADCS, el registro también es importante. Puede habilitar y configurar la auditoría de los Servicios de certificados de Active Directory siguiendo las instrucciones de este artículo.
¡Lo primero es lo primero!
El primer paso es asegurarse de que la auditoría esté habilitada en sus servidores ADCS.
Para ello, ejecute el comando auditpol y asegúrese de que la auditoría avanzada de “Registro” y “Servicios de certificados” esté activada.
Un momento, ¿pero qué es Auditpol?
Windows recopila registros de todo tipo, que pueden resultar inútiles y causar confusión y pérdida de concentración. Para solucionar esto, Microsoft introdujo auditpol. Auditpol se utiliza para categorizar estos registros de forma granular a nivel de usuario.
¡Recuerde actualizar la política de grupo después de haberla habilitado!
A continuación se muestran algunos ejemplos más del uso de auditpol:
Ejemplo
Ejemplo
En nuestro caso de uso de ADCS, utilizaremos:
auditpol /get /categoría:*
El siguiente paso es habilitar monitoreo usando el complemento ADCS.
Hacer esto, realizar las Siguiendo pasos en el ADCS servidor.
- Abrir el Administrador del servidor
- Seleccione Herramientas -> Certificado Autoridad
- Haga clic con el botón las Nombre de CA y selecciona Propiedades.
- Seleccione monitorear
- Active requerida monitoreo
- Apoyo arriba y restauración la base de datos de CA
- Cambiar la configuración de CA
- Cambiar la configuración de seguridad de CA
- Emisor más antigua y administrar solicitudes de certificado
- Revocar certificados y publicar CRL
- Almacenamiento más antigua y recuperando claves archivadas
- Comenzando más antigua y parada las ADCS
El siguiente paso es habilitar los cambios de la plantilla de certificado mediante certutil mando.
certutil –setreg política\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Algunos cambios se pueden realizar directamente a través del registro, por lo que auditoría de registro debiera ser habilitadaPara ello, necesitas:
- Abierto regedit en el servidor ADCS
- Encuentre debajo del Registro Clave
- HKLM\Sistema\Conjunto de control actual\Servicios\CertSvc\Configuración\
- Derecha clic on Configuración y selecciona Permisos
- Haga clic en Detalles
- Seleccione Monitoring y haga clic en Agregar
- Establezca el principal en Usuarios autenticados y configure lo siguiente Permisos:
- y configure valor
- Para crear subclave
- incendio extinguir
- escribir DAC
- escribir propietario
- read control
Reinicie el servidor y vea los cambios. Tras reiniciar, verá varios ID de eventos en el registro de seguridad.
Reinicie el servidor y verifique los cambios. Tras el reinicio, debería ver diferentes ID de eventos en los registros de seguridad.
Ahora tenemos el ADCS auditoría en funcionamiento.
También puede filtrar los registros de auditoría mediante Azure Arc y Azure Sentinel, utilizando las "Reglas del recopilador de datos" en Microsoft Azure.
