Hoe schakel ik het CA Advanced Audit Filter in voor ADCS?

Active Directory Certificate Services (AD CS) vormt de basis van bedrijfsbeveiliging. PKIHet geeft de vergunningen uit en beheert deze. digitale certificaten Certificeringsinstanties (CA's) authenticeren gebruikers, apparaten en services binnen een organisatie. Gezien hun centrale rol in het creëren van vertrouwen, zijn ze ook een aantrekkelijk doelwit. Ongeautoriseerde certificaatuitgiften, manipulatie van configuraties, misbruik van sleutelarchieven en manipulatie van intrekkingen kunnen allemaal ongemerkt plaatsvinden als de juiste beveiligingsmaatregelen ontbreken.

Het inschakelen van geavanceerde auditfuncties op uw CA is een van de meest cruciale beveiligingsmaatregelen die u kunt implementeren. Het geeft uw beveiligingsteam het inzicht dat nodig is om afwijkingen te detecteren, te voldoen aan compliance-vereisten en te reageren op incidenten voordat ze escaleren tot datalekken.

Het inschakelen en valideren van CA-auditing in Windows is echter niet zo eenvoudig als het in- en uitschakelen van een enkele instelling. Het vereist meerdere configuratiestappen die samenwerken, en het overslaan van een van deze stappen resulteert in het volledig ontbreken van auditgebeurtenissen. Deze handleiding beschrijft het volledige proces voor het inschakelen en valideren van CA-auditing. Het legt uit welke gebeurtenissen de CA vastlegt en waar deze worden opgeslagen, hoe u het interne auditfilter van de CA configureert en hoe u de vereiste auditbeleidsregels op besturingssysteemniveau inschakelt.

Inzicht in Windows CA-gebeurteniscontrole

Windows Server CA implementeert drie verschillende mechanismen voor gebeurteniscontrole, die elk een ander doel dienen en naar een andere bestemming schrijven.

Standaardgebeurtenissen

Dit zijn informatieve gebeurtenissen op het hoogste niveau die naar het toepassingsgebeurtenislogboek worden geschreven, afkomstig van CertificeringsautoriteitZe omvatten operationele activiteiten op hoog niveau, zoals waarschuwingen voor het verlopen van CA-certificaten en fouten op serviceniveau. Standaard logging is standaard actief en vereist geen extra configuratie.

Auditgebeurtenissen

Dit zijn de gedetailleerde, beveiligingsrelevante gebeurtenissen die in het beveiligingslogboek worden vastgelegd. Auditgebeurtenissen registreren gedetailleerde CA-activiteiten, waaronder certificaatuitgifte, intrekking, sleutelarchivering, configuratiewijzigingen en wijzigingen in CA-beveiligingsinstellingen.

Het controleren van beveiligingsgebeurtenissen moet op twee plaatsen worden ingeschakeld: op CA-niveau, waar u definieert welke gebeurteniscategorieën moeten worden vastgelegd, en op besturingssysteemniveau, waar u aangeeft dat deze gebeurtenissen naar het Windows-beveiligingslogboek moeten worden geschreven. Als een van beide configuraties ontbreekt, worden er geen beveiligingsgebeurtenissen voor de CA vastgelegd. Auditgebeurtenissen zijn standaard niet ingeschakeld en vormen het hoofdonderwerp van deze handleiding.

Foutopsporingslogboek

Dit zijn debug-traceringen op laag niveau die zijn vastgelegd in certsrv.log (CA-service), certutil.log (certutil-bewerkingen) en certocm.log (installatie/configuratie). Deze logbestanden zijn alleen nuttig voor Microsoft-ondersteuning en zijn niet standaard ingeschakeld. Ze zijn niet bedoeld voor routinematige beveiligingsmonitoring.

Het is essentieel om het verschil tussen deze drie engines te begrijpen voordat je de configuratie kunt doorgronden, met name omdat standaardgebeurtenissen en auditgebeurtenissen volledig verschillende logbestemmingen, filters en activeringsmethoden gebruiken.

Wat is Auditpol?

Windows genereert standaard logboeken voor een breed scala aan systeemactiviteiten, waarvan vele generiek zijn en weinig waarde hebben voor een beveiligingsteam dat zich richt op certificaatinfrastructuur. Om dit probleem aan te pakken, biedt Microsoft een ingebouwd opdrachtregelprogramma genaamd Controlepol (Auditbeleid), waarmee beheerders het geavanceerde auditbeleid van Windows op een gedetailleerd niveau, per subcategorie, kunnen bekijken en configureren.

In de context van ADCS wordt Auditpol voornamelijk gebruikt om te controleren of de subcategorieën 'Certificeringsservices' en 'Register' actief zijn ingeschakeld op de CA-server voordat er auditgebeurtenissen in het beveiligingslogboek kunnen verschijnen.

Auditpol en de CA-auditengine vervullen twee verschillende, maar even essentiële rollen. Auditpol instrueert Windows om op besturingssysteemniveau te luisteren naar en gebeurtenissen vast te leggen die door de CA worden gegenereerd, terwijl de CA-auditengine de CA instrueert welke gebeurtenissen op serviceniveau moeten worden gegenereerd. Geen van beide configuraties is op zichzelf voldoende; beide moeten aanwezig zijn om auditgebeurtenissen in het Windows-beveiligingslogboek te laten verschijnen.

Om de huidige status van het auditbeleid op uw CA-server te controleren, voert u het volgende commando uit:

auditpol /get /categorie:*

Deze opdracht wordt hier geïntroduceerd om te bevestigen dat de vereiste auditsubcategorieën zijn ingeschakeld. Later in het verificatiegedeelte wordt deze opdracht opnieuw gebruikt om de uiteindelijke configuratie te valideren nadat alle CA-auditstappen zijn voltooid.

Controleer in het gedeelte 'Objecttoegang' van de uitvoer of 'Certificeringsservices' ten minste 'Succes' weergeeft. Zonder deze instelling worden er geen CA-auditgebeurtenissen in het beveiligingslogboek geregistreerd, ongeacht de configuratie op CA-niveau.

De CA Audit Engine configureren

Om CA-auditgebeurtenissen in te schakelen, moeten vier sterk aanbevolen configuratiestappen worden voltooid. In de praktijk kan het overslaan van een van deze stappen leiden tot onvolledige of volledig ontbrekende zichtbaarheid van CA-beveiligingsaudits. Stap 1 en 2 zijn essentieel: als een van beide ontbreekt, verschijnen CA-beveiligingsgebeurtenissen niet in het beveiligingslogboek. Stap 3 is technisch gezien optioneel, maar wordt sterk aanbevolen in elke omgeving die wordt beheerd door Groepsbeleid, omdat verouderde auditbeleidsregels geavanceerde instellingen voor auditsubcategorieën stilletjes kunnen overschrijven. Stap 4 breidt de auditdekking uit naar configuratiewijzigingen op registerniveau die standaard auditkanalen omzeilen.

In de volgende paragrafen wordt het volledige configuratieproces voor CA-auditing beschreven, te beginnen met het auditfilter op CA-niveau en vervolgens het inschakelen van de Windows-auditbeleidsregels die nodig zijn om deze gebeurtenissen in het beveiligingslogboek vast te leggen.

Stap 1: Stel het CA AuditFilter in.

De eerste stap vindt plaats op CA-niveau en bepaalt welke categorieën gebeurtenissen de CA-service mag genereren. Het CA-auditfilter is een bitmaskerwaarde die zeven verschillende auditcategorieën vertegenwoordigt die kunnen worden ingeschakeld. Als alle waarden zijn ingeschakeld, heeft het auditfilter een waarde van 127.

Microsoft raadt aan alle categorieën in te schakelen. Dit komt overeen met een decimale waarde van 127 in de registerwaarde AuditFilter, wat ook handig is voor het stroomlijnen van installaties met behulp van scripts in plaats van handmatig de wizard te doorlopen.

Dit kan worden geconfigureerd via de CA MMC (certsrv.msc) onder het tabblad Auditing in de CA-eigenschappen, of rechtstreeks vanuit een opdrachtprompt met beheerdersrechten:

certutil -setreg CA\AuditFilter 127

Start de certificeringsservices opnieuw op zodat de wijziging van kracht wordt:

net stop certsvc && net start certsvc

Om te controleren of de instelling correct is toegepast:

certutil -getreg ca\auditfilter

Auditing inschakelen via de ADCS-module (GUI-methode)

Als u de voorkeur geeft aan een grafische interface, kan dezelfde AuditFilter-configuratie worden toegepast via de CA MMC. Voer de volgende stappen uit op de ADCS-server:

• Open server Manager.
• kies Hulpmiddelen → Certificeringsinstantie.
• Klik met de rechtermuisknop op de CA-naam en selecteer Aanbod.
• Selecteer het Auditing Tab.
• Schakel alle vereiste auditinstellingen in door het volgende aan te vinken:
  • Het maken van een back-up en het herstellen van de CA-database.
  • CA-configuratie wijzigen
  • CA-beveiligingsinstellingen wijzigen
  • Het uitgeven en beheren van certificaataanvragen
  • Certificaten intrekken en CRL's publiceren
  • Het opslaan en ophalen van gearchiveerde sleutels
  • Active Directory-certificaatservices starten en stoppen

Let op: Het aanvinken van alle vakjes in het tabblad Auditing is gelijk aan het uitvoeren van `certutil -setreg CA\AuditFilter 127` via de opdrachtregel. Beide methoden leveren hetzelfde resultaat op; gebruik de methode die het beste bij uw workflow past.

Certificaatsjablooncontrole inschakelen (EDITF_AUDITCERTTEMPLATELOAD)

Gebeurtenis-ID's 4898, 4899 en 4900 – die het laden en bijwerken van certificaatsjablonen bijhouden – worden niet alleen door de AuditFilter-waarde beheerd. Voor deze gebeurtenissen is een extra configuratievlag vereist. Om het controleren van wijzigingen in certificaatsjablonen in te schakelen, voert u de volgende opdracht uit:

certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

Na deze wijziging is een herstart van de certificeringsservices vereist. Zodra deze functie is ingeschakeld, kunt u de volgende sjabloongerelateerde gebeurtenis-ID's in het beveiligingslogboek controleren:

• 4898: Certificaatservices heeft een sjabloon geladen
• 4899: De sjabloon voor certificeringsdiensten is bijgewerkt.
• 4900: Certificaatservices heeft een sjabloonconfiguratie geladen.

NoteDeze vlag EDITF_AUDITCERTTEMPLATELOAD wordt ingesteld in de EditFlags van de CA-beleidsmodule, wat losstaat van de registerwaarde AuditFilter die in stap 1 is geconfigureerd.

Stap 2: Configureer het groepsbeleidsobject (GPO) voor objecttoegangscontrole (auditcertificeringsservices).

De tweede stap vindt plaats op besturingssysteemniveau en geeft Windows de opdracht om de door de CA gegenereerde gebeurtenissen in het beveiligingsgebeurtenislogboek te schrijven. Ga in de Editor voor Groepsbeleidsbeheer naar Computerconfiguratie → Beleid → Windows-instellingen → Beveiligingsinstellingen → Geavanceerde configuratie van auditbeleid → Auditbeleid, dubbelklik vervolgens op Objecttoegang en configureer Auditcertificeringsservices voor Succes; Mislukking is optioneel, maar aanbevolen voor een gelaagde beveiliging, aangezien CA-bewerkingen in de praktijk zelden controleerbare foutgebeurtenissen opleveren.

Pas dit groepsbeleidsobject (GPO) toe op de organisatie-eenheid (OU) die uw CA-servers bevat om ervoor te zorgen dat het beleid correct is gedefinieerd en niet per ongeluk andere servers beïnvloedt. Voer na het toepassen gpupdate /force uit op de CA-server om het beleid onmiddellijk te vernieuwen.

waarschuwingHet toepassen van geavanceerde auditbeleidsconfiguratie via GPO zal stilzwijgend alle auditsubcategorieën resetten die niet expliciet in diezelfde GPO zijn gedefinieerd, inclusief aanmelden/afmelden, accountaanmelding, privilegegebruik en andere categorieën waarop uw omgeving mogelijk al vertrouwt. Alle niet-gedefinieerde subcategorieën vallen onder 'Geen audit', wat een bestaande auditbaseline kan verbreken zonder foutmelding of waarschuwing.

De onderstaande workflow voor back-up en import is de door Microsoft aanbevolen methode om uw bestaande auditbaseline te behouden voordat u dit groepsbeleidsobject toepast. Uitvoeren:

auditpol.exe /backup /file:auditbaseline.csv

Importeer vervolgens die basislijn in uw CA GPO en wijzig alleen de subcategorie Certificeringsservices. Dit zorgt ervoor dat alle andere auditcategorieën behouden blijven en dat u alleen iets toevoegt aan het bestaande beleid, in plaats van het te vervangen.

Let op: Als AD CS is geïnstalleerd op een domeincontroller, configureert u het auditbeleid in het groepsbeleidsobject 'Standaardbeleid voor domeincontrollers' (Default Domain Controllers Policy GPO). Als AD CS is geïnstalleerd op een Windows-server, configureert u het auditbeleid in een specifiek groepsbeleidsobject dat is toegepast op de organisatie-eenheid (OU) van die server.

Stap 3: Schakel de verwerking van auditsubcategorieën in.

Stap 3 is functioneel vereist in domein-gekoppelde en via GPO beheerde omgevingen, wat het overgrote deel van de ADCS-implementaties binnen bedrijven omvat. Technisch gezien is deze stap alleen optioneel op zelfstandige CA's zonder GPO-auditbeleid.

Stappen 1 en 2 zijn het minimum dat nodig is om CA-auditgebeurtenissen te genereren. Stappen 3 en 4 zijn sterk aanbevolen beveiligingsmaatregelen die voorkomen dat uw subcategorieconfiguratie stilletjes wordt overschreven of omzeild.

Zonder deze instelling kunnen verouderde auditbeleidsregels op categorieniveau uw meer gedetailleerde subcategorieconfiguraties stilletjes overschrijven, waardoor uw instelling voor auditcertificeringsservices mogelijk nooit van kracht wordt. Om dit te voorkomen, configureert u het systeem expliciet om prioriteit te geven aan beleidsregels op subcategorieniveau.

Navigeren naar:

Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Beveiligingsopties

Stel “Audit: Dwing de instellingen van de subcategorie van het auditbeleid (Windows Vista of later) af om de instellingen van de categorie van het auditbeleid te overschrijven” in op Ingeschakeld.

Dit zorgt ervoor dat het beleid op subcategorieniveau voor Audit Certification Services voorrang heeft op alle instellingen op categorieniveau voor "Toegang tot auditobjecten" die mogelijk al in uw omgeving aanwezig zijn.

Let op: Zodra de verwerking van subcategorieën is ingeschakeld, krijgt elk groepsbeleidsobject (GPO) dat geavanceerde auditbeleidsinstellingen definieert, de volledige controle over die subcategorieën. Zorg ervoor dat uw GPO alle subcategorieën bevat waarop u vertrouwt, niet alleen Certificeringsservices, om te voorkomen dat andere auditcategorieën onbedoeld worden uitgeschakeld.

Stap 4: Registercontrole inschakelen

Sommige wijzigingen in de CA-configuratie kunnen rechtstreeks via het register worden doorgevoerd, waardoor de standaard auditkanalen worden omzeild. Om ervoor te zorgen dat deze wijzigingen ook worden vastgelegd, moet registerauditing zijn ingeschakeld voor de registersleutel van de certificeringsservices op de CA-server.

Note: Alleen register-SACL's genereren geen auditgebeurtenissen. Objecttoegang → Register De subcategorie audit moet ook worden ingeschakeld via auditpol of Groepsbeleid om gebeurtenissen met betrekking tot registertoegang te registreren.

Volg de onderstaande stappen om registercontrole in te schakelen:

1. Open regedit op de ADCS-server.
2. Navigeer naar de volgende registersleutel:
   HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\
3. Klik met de rechtermuisknop op Configuratie en selecteer machtigingen.
4. Klik op de Security tabblad en klik vervolgens op Geavanceerd.
5. Selecteer het Auditing klik en klik Toevoegen.
6. Stel de directeur in op Geverifieerde gebruikers en configureer de volgende SACL-machtigingen:
   • Waarde instellen
   • Subsleutel aanmaken
   • Verwijdering
   • Schrijf DAC
   • Schrijf de eigenaar

Nadat u de registercontrole hebt geconfigureerd, start u de certificeringsservices opnieuw en voert u gpupdate /force uit om ervoor te zorgen dat alle instellingen zijn toegepast. U zou dan registergerelateerde gebeurtenis-ID's (zoals gebeurtenis-ID 4657: Een registerwaarde is gewijzigd) in het beveiligingslogboek moeten zien verschijnen, naast de standaard CA-auditgebeurtenissen.

De volgende uitvoer toont de beschikbare auditpol-opdrachten. Gebruik dit als referentie bij het controleren of wijzigen van de auditbeleidsinstellingen op uw CA-server:

Het uitvoeren van `auditpol /list /category` geeft alle beschikbare auditbeleidscategorieën op het hoogste niveau weer. Certificeringsservices valt onder de categorie 'Certificeringsservices'. Objecttoegang categorie, waarin de CA-auditsubcategorie is geconfigureerd:

De volgende uitvoer laat zien hoe auditpol /get de huidige auditinstellingen voor een specifieke categorie weergeeft, onderverdeeld per subcategorie en hun geconfigureerde status. Deze zelfde methode wordt gebruikt om te controleren of de Audit Certification Services onder Object Access is ingesteld op Succes of Mislukt nadat uw GPO is toegepast:

Controleer uw configuratie

Nadat alle stappen zijn voltooid, dient u te controleren of de configuratie volledig correct werkt voordat u deze gebruikt voor monitoring- of compliance-doeleinden.

• lopen auditpol /get /category:* en bevestig dat Certificatiediensten voor Objecttoegang shows Succes en Storing zijn ingeschakeld.
• lopen certutil -getreg ca\auditfilter en controleer of de geretourneerde waarde 0x7f (hexadecimaal), wat gelijk is aan 127 in decimaal. Windows geeft de waarde doorgaans weer in hexadecimaal (0x7f), terwijl 127 wordt vaak gebruikt bij het configureren van de instelling via certutil.
• Open event Viewer Ga naar de CA-server en navigeer naar:
  Windows-logboeken → Beveiliging
• Voer een testactie uit om te bevestigen dat auditgebeurtenissen correct worden verwerkt. De belangrijkste gebeurtenis-ID's waarnaar u moet zoeken, staan ​​hieronder vermeld:

• Voer gpresult /r uit op de CA-server en controleer of het juiste GPO op de machine is toegepast.

Hoewel handmatige configuratie effectief is, kan het beheren van auditbeleid voor meerdere CA's op grote schaal complex worden. Dat is waar CertSecure Manager van pas komt.

Hoe kan Encryption Consulting u helpen?

Encryptie Consulting biedt gespecialiseerde diensten om kwetsbaarheden te identificeren en risico's te beperken door PKI-dienstenOnze strategische begeleiding stemt PKI-oplossingen af ​​op organisatiedoelstellingen, verbetert de efficiëntie en minimaliseert kosten. Door samen te werken met Encryption Consulting kunnen organisaties het volledige potentieel van PKI-oplossingen benutten en tastbare financiële voordelen realiseren, terwijl ze tegelijkertijd sterke beveiligingsmaatregelen handhaven. 

Het PKI-beoordelingsdiensten Wij bieden een uitgebreide evaluatie van uw bestaande ADCS-omgeving en identificeren tekortkomingen op het gebied van CA-hygiëne, back-upprocedures, CRL/AIA-configuratie en databasestatus. Of uw CA-database nu in de loop der tijd ongecontroleerd is gegroeid of uw onderhoudsprocessen ongestructureerd zijn, ons team levert een gedetailleerd risicorapport met een stappenplan op basis van prioriteiten om uw PKI weer in een gezonde en controleerbare staat te brengen. 

CertSecure Manager

Encryptie Consulting's CertSecure Manager Dit is een leveranciersneutrale oplossing voor certificaatlevenscyclusbeheer die de ontdekking, automatisering, inschrijving, beleidshandhaving en integraties centraliseert. Het voorkomt storingen met geautomatiseerde verlengingen, verbetert de naleving van regelgeving, stroomlijnt IT-activiteiten en verenigt het beheer van openbare en private CA's via één geautomatiseerd, schaalbaar platform. 

• Automatisering voor kortlopende certificaten: Nu ACME- en 90-dagen/47-dagen TLS-certificaten de standaard zijn geworden, is handmatige verlenging geen praktische optie meer. CertSecure Manager automatiseert de inschrijving, verlenging en implementatie, zodat certificaten nooit ongemerkt verlopen.
• Naadloze DevOps- en cloudintegratie: Certificaten kunnen rechtstreeks in webservers en cloud-instanties worden geïnstalleerd en geïntegreerd met moderne logboekregistratietools zoals Datadog en Splunk, ITSM-platforms zoals ServiceNow en DevOps-tools zoals Terraform en Ansible.
• Ondersteuning voor meerdere CA's: Veel organisaties gebruiken meerdere certificeringsinstanties (CA's), waaronder interne Microsoft CA's en openbare CA's zoals DigiCert en GlobalSign. CertSecure Manager integreert deze bronnen en biedt één centraal beheerscherm voor certificaatuitgifte en levenscyclusbeheer.
• Uniform uitgifte- en verlengingsbeleid: CertSecure Manager handhaaft consistent de organisatorische standaarden voor sleutelgroottes, algoritmen en verlengingsbeleid voor alle certificaten. Naast het automatiseren van verlengingen bij meerdere CA's, zorgt het ervoor dat elk certificaat voldoet aan de beveiligingsvereisten van de organisatie.
• Proactieve monitoring en vernieuwingstesten: Continue monitoring, gecombineerd met gesimuleerde verlengings- en vervaldatumtests, helpt risico's te identificeren voordat certificaten de productiesystemen beïnvloeden.
• Auditinzicht en nalevingsrapportage: CertSecure Manager biedt gecentraliseerd inzicht in de uitgifte, verlenging, intrekking en beleidsgerelateerde activiteiten van certificaten. Geïntegreerde rapportage en SIEM-vriendelijke logboekregistratie helpen beveiligingsteams bij het onderzoeken van certificaatgerelateerde gebeurtenissen, het monitoren van operationele afwijkingen en het bijhouden van bewijsmateriaal voor naleving binnen de PKI-omgevingen van de onderneming.
• Gecentraliseerde zichtbaarheid en naleving: Een overzichtelijk dashboard toont alle certificaten, sleutellengtes, sterke en zwakke algoritmen en vervaldatums. Auditlogboeken en beleidshandhaving vereenvoudigen de naleving van raamwerken zoals PCI DSS en HIPAA.

Conclusie

Het inschakelen van het geavanceerde auditfilter voor certificeringsinstanties (CA) is een van de meest impactvolle stappen die een organisatie kan nemen om een ​​werkelijk veilige PKI-architectuur op te bouwen. Door het geavanceerde auditfilter in te schakelen voor alle zeven gebeurteniscategorieën, het beleid op besturingssysteemniveau te configureren om deze gebeurtenissen in het beveiligingslogboek vast te leggen en ervoor te zorgen dat de instellingen voor subcategorieën correct worden afgedwongen, krijgen organisaties volledig inzicht in de levenscyclus van elk certificaat en elke administratieve actie die binnen hun CA-omgeving wordt uitgevoerd.

Beveiligingsteams kunnen afwijkende certificaatuitgiften vrijwel in realtime detecteren, CA-activiteiten correleren met bredere dreigingssignalen in hun SIEM-systeem en direct auditklaar bewijsmateriaal genereren – zonder achteraf de gebeurtenissen te hoeven reconstrueren. Incidentresponders hoeven niet langer te gissen of een certificaat is uitgegeven, ingetrokken of gemanipuleerd; het beveiligingslogboek vertelt het hele verhaal precies.

Om aan de regelgeving te voldoen, laat elke administratieve handeling binnen de CA-omgeving een traceerbare, van een tijdstempel voorziene digitale voetafdruk achter die direct overeenkomt met de controles in de PCI DSS-, HIPAA- en NIST-raamwerken.