Het instellen van een audit is een van de belangrijkste aspecten van elke beveiligingsarchitectuur. Voor ADCS is logging ook belangrijk. U kunt Active Directory Certificate Services-auditing inschakelen en instellen met behulp van de instructies in dit artikel.
Het belangrijkste eerst!
De eerste stap is ervoor te zorgen dat auditing is ingeschakeld op uw ADCS-servers.
Voer hiervoor de opdracht auditpol uit en zorg ervoor dat de geavanceerde controle van 'Register' en 'Certificaatservices' is ingeschakeld.
Wacht, wat is Auditpol?
Windows legt allerlei logs vast, die mogelijk niet nuttig voor ons zijn en veel verwarring en concentratieverlies veroorzaken. Om dit aan te pakken, heeft Microsoft auditpol geïntroduceerd. Auditpol wordt gebruikt om deze logs gedetailleerd op gebruikersniveau te categoriseren.
Vergeet niet het groepsbeleid te vernieuwen nadat u het hebt ingeschakeld!
Hieronder vindt u nog enkele voorbeelden voor het gebruik van auditpol:
Voorbeeld 1
Voorbeeld 2
In ons ADCS-gebruiksvoorbeeld gebruiken we:
auditpol /get /categorie:*
De volgende stap is om in staat te stellen bewaking gebruik de ADCS-module.
Om dit te doen, uitvoeren the volgend stappen op de ADCS server.
- Serverbeheer openen
- Selecteer Extra -> Certificaat Autoriteit
- Klik met de rechtermuisknop the CA-naam en kiezen Eigenschappen.
- kies controleren
- Enable nodig bewaking settings
- steun omhoog en het herstellen van de CA-database
- CA-configuratie wijzigen
- CA-beveiligingsinstellingen wijzigen
- Uitgevende en beheren certificaataanvragen
- Certificaten intrekken en CRL's publiceren
- Hoe bewaart u en ophalen gearchiveerde sleutels
- Vanaf en stoppen the ADCS
De volgende stap is het inschakelen van de wijzigingen in de certificaatsjabloon met behulp van certutil opdracht.
certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD
Sommige wijzigingen kunnen rechtstreeks via het register worden aangebracht, dus registercontrole moet ingeschakeldHiervoor moet u het volgende doen:
- Open regedit op de ADCS-server
- Find onder het register sleutel
- HKLM\Systeem\CurrentControlSet\Services\CertSvc\Configuratie\
- Rechts Klik on Configuratie en kiezen machtigingen
- Klik Details
- kies Monitoren en klik op Toevoegen
- Stel de principal in op Geverifieerde gebruikers en configureer het volgende toestemmingen:
- reeks waarde
- en je merk te creëren subkey
- brand blussen
- schrijven DAC
- schrijven eigenaar
- dit artikel lezen onder controle te houden
Start de server opnieuw op en bekijk uw wijzigingen. Na het opnieuw opstarten ziet u verschillende gebeurtenis-ID's in het beveiligingslogboek.
Start uw server opnieuw op en controleer de wijzigingen. Na het opnieuw opstarten zou u verschillende gebeurtenis-ID's in uw beveiligingslogboeken moeten zien.
Nu hebben we de ADCS auditing operationeel.
U kunt de auditlogboeken ook filteren via Azure Arc en Azure Sentinel, met behulp van 'Data Collector Rules' in MS Azure.
