Så här aktiverar du CA Advanced Audit Filter för ADCS

Active Directory Certificate Services (AD CS) utgör grunden för företag PKIDen utfärdar och hanterar digitala certifikat som autentiserar användare, enheter och tjänster inom en organisation. Med tanke på dess centrala roll i att skapa förtroende är certifikatutfärdaren (CA) också ett värdefullt mål. Obehöriga certifikatutfärdanden, konfigurationsmanipulering, missbruk av nyckelarkivering och manipulation av återkallelser kan alla ske i det tysta om rätt skyddsåtgärder inte finns på plats.

Att aktivera avancerad granskning på din CA är en av de viktigaste säkerhetskontrollerna du kan implementera. Det ger ditt säkerhetsteam den insyn som behövs för att upptäcka avvikelser, uppfylla efterlevnadskrav och reagera på incidenter innan de eskalerar till intrång.

CA-granskning i Windows är dock inte bara en enda växlingsknapp; istället kräver det flera konfigurationssteg som arbetar tillsammans och om något av dem utelämnas genereras inga granskningshändelser alls. Den här guiden täcker hela processen för att aktivera och validera CA-granskning. Den förklarar vilka händelser CA:n fångar upp och var dessa poster lagras, hur man konfigurerar CA:ns interna granskningsfilter och hur man aktiverar de nödvändiga granskningspolicyerna på operativsystemnivå.

Förstå händelsegranskning i Windows CA

Windows Server CA implementerar tre distinkta händelsegranskningsmekanismer, som var och en tjänar ett annat syfte och skriver till en annan destination.

Standardevenemang

Dessa är informationshändelser på högsta nivå som skrivs till programhändelseloggen, hämtade från CertifieringsmyndighetDe täcker operativ aktivitet på hög nivå, såsom varningar om att CA-certifikat har löpt ut och fel på servicenivå. Standardloggning är aktiv som standard och kräver ingen ytterligare konfiguration.

Revisionshändelser

Det här är de detaljerade, säkerhetsrelevanta händelserna som skrivs till säkerhetshändelseloggen. Granskningshändelser fångar upp detaljerad CA-aktivitet, inklusive certifikatutfärdande, återkallelse, nyckelarkivering, konfigurationsändringar och ändringar av CA-säkerhetsinställningar.

Granskning av säkerhetshändelser måste aktiveras på två ställen: på CA-nivå, där du definierar vilka händelsekategorier som ska loggas, och på operativsystemnivå, där du anger att dessa händelser ska skrivas till Windows säkerhetslogg. Om någon av konfigurationerna saknas loggas inga säkerhetshändelser för CA:n. Granskningshändelser är inte aktiverade som standard och är huvudämnet för den här guiden.

Felsökningslogg

Dessa är felsökningsspår på låg nivå som loggas i certsrv.log (CA-tjänst), certutil.log (certutil-åtgärder) och certocm.log (installation/konfiguration). Dessa loggar är endast användbara för Microsoft Support och är inte aktiverade som standard. De är inte avsedda för rutinmässig säkerhetsövervakning.

Det är viktigt att förstå skillnaden mellan dessa tre motorer innan man förstår konfigurationen, särskilt eftersom standardhändelser och granskningshändelser använder helt separata loggdestinationer, filter och aktiveringsmetoder.

Vad är Auditpol?

Windows genererar loggar över en mängd olika systemaktiviteter som standard, av vilka många är generiska och av ringa värde för ett säkerhetsteam som fokuserar på certifikatinfrastruktur. För att åtgärda detta tillhandahåller Microsoft ett inbyggt kommandoradsverktyg som heter Auditpol (Audit Policy), vilket gör det möjligt för administratörer att visa och konfigurera Windows avancerade granskningspolicy på en detaljerad underkategorinivå.

I samband med ADCS används Auditpol främst för att verifiera att granskningsunderkategorierna Certifikattjänster och Registret är aktivt aktiverade på CA-servern innan några granskningshändelser kan förväntas visas i säkerhetsloggen.

Auditpol och CA-revisionsmotorn har två olika men lika viktiga roller. Auditpol instruerar Windows att lyssna efter och registrera CA-genererade händelser på operativsystemnivå, medan CA-revisionsmotorn instruerar CA om vilka händelser som ska genereras på servicenivå. Ingen av konfigurationerna är tillräcklig isolerat – båda måste vara på plats för att granskningshändelser ska visas i Windows säkerhetslogg.

För att kontrollera den aktuella statusen för granskningspolicyn på din CA-server, kör:

auditpol /get /category:*

Det här kommandot introduceras här för att bekräfta att de obligatoriska underkategorierna för granskning är aktiverade, och det kommer att användas igen senare i verifieringsavsnittet för att validera den slutliga konfigurationen efter att alla CA-granskningssteg har slutförts.

Under avsnittet Objektåtkomst i utdata, bekräfta att Certifieringstjänster visar minst Lyckades aktiverat – utan detta kommer inga CA-granskningshändelser att nå säkerhetsloggen oavsett vad som är konfigurerat på CA-nivå.

Konfigurera CA-granskningsmotorn

Att aktivera CA-granskningshändelser kräver att fyra starkt rekommenderade konfigurationssteg slutförs. I praktiken kan utelämnande av något av dessa steg resultera i ofullständig eller helt saknad synlighet för CA-säkerhetsgranskningen. Steg 1 och 2 är grundläggande – om något av dem saknas kommer CA-säkerhetshändelser inte att visas i säkerhetsloggen. Steg 3 är tekniskt valfritt men rekommenderas starkt i alla grupprinciphanterade miljöer eftersom äldre granskningsprinciper i tysthet kan åsidosätta avancerade inställningar för granskningsunderkategorier. Steg 4 utökar granskningsområdet till konfigurationsändringar på registernivå som kringgår standardgranskningskanaler.

Följande avsnitt går igenom den fullständiga konfigurationsprocessen för CA-granskning, med början med CA-nivågranskningsfiltret och sedan aktivering av de Windows-granskningsprinciper som krävs för att registrera dessa händelser i säkerhetsloggen.

Steg 1: Ställ in CA AuditFilter

Det första steget fungerar på CA-nivå och styr vilka kategorier av händelser som CA-tjänsten får generera. CA-revisionsfiltret är ett bitmaskvärde som representerar sju olika revisionskategorier som kan aktiveras. Om alla värden är aktiverade kommer revisionsfiltret att ha ett värde på 127.

Microsoft rekommenderar att alla kategorier aktiveras. Detta korrelerar med ett decimalvärde på 127 på AuditFilter-registervärdet, vilket också är användbart för att effektivisera installationer med hjälp av skript istället för att manuellt gå igenom guiden.

Detta kan konfigureras antingen via CA MMC (certsrv.msc) under fliken Granskning i CA-egenskaper, eller direkt från en upphöjd kommandotolk:

certutil -setreg CA\AuditFilter 127

Starta om certifikattjänsterna för att ändringen ska träda i kraft:

nätstopp certsvc && nätstart certsvc

För att kontrollera att inställningen har tillämpats korrekt:

certutil -getreg ca\auditfilter

Aktivera granskning via ADCS-snapin-modulen (GUI-metod)

Om du föredrar ett grafiskt gränssnitt kan samma AuditFilter-konfiguration tillämpas via CA MMC. Utför följande steg på ADCS-servern:

• Öppet server manager.
• Välja Verktyg → Certifikatutfärdare.
• Högerklicka på CA-namnet och välj Våra Bostäder.
• Välj Revision fliken.
• Aktivera alla nödvändiga granskningsinställningar genom att markera följande:
  • Säkerhetskopiera och återställa CA-databasen
  • Ändra CA-konfiguration
  • Ändra säkerhetsinställningar för CA
  • Utfärda och hantera certifikatförfrågningar
  • Återkalla certifikat och publicera CRL:er
  • Lagra och hämta arkiverade nycklar
  • Starta och stoppa Active Directory-certifikattjänster

Obs: Att markera alla rutor på fliken Granskning motsvarar att köra certutil -setreg CA\AuditFilter 127 från kommandoraden. Båda metoderna ger samma resultat – använd det som passar ditt arbetsflöde.

Aktivera granskning av certifikatmallar (EDITF_AUDITCERTTEMPLATELOAD)

Händelse-ID:na 4898, 4899 och 4900 – som spårar inläsning och uppdateringar av certifikatmallar – styrs inte enbart av AuditFilter-värdet. Dessa händelser kräver att en ytterligare konfigurationsflagga anges. För att aktivera granskning av ändringar av certifikatmallar, kör följande kommando:

certutil -setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

En omstart av certifikattjänsterna krävs efter denna ändring. När de är aktiverade kan du övervaka följande mallrelaterade händelse-ID:n i säkerhetsloggen:

• 4898: Certifikattjänster har laddat en mall
• 4899: Mallen för certifikattjänster har uppdaterats
• 4900: Certifikattjänster laddade en mallkonfiguration

AnmärkningarDenna flagga EDITF_AUDITCERTMALLLOAD är inställt på CA-policymodulens EditFlags, vilket är separat från registervärdet AuditFilter som konfigurerades i steg 1.

Steg 2: Konfigurera grupprincipobjektet för objektåtkomstgranskning (granskningscertifieringstjänster)

Det andra steget sker på operativsystemnivå och instruerar Windows att skriva de CA-genererade händelserna till säkerhetshändelseloggen. I redigeraren för grupprinciphantering navigerar du till Datorkonfiguration → Principer → Windows-inställningar → Säkerhetsinställningar → Avancerad konfiguration av granskningsprinciper → Granskningsprinciper, dubbelklickar sedan på Objektåtkomst och konfigurerar granskningscertifieringstjänster för lyckat resultat. Misslyckande är valfritt men rekommenderas för djupgående försvar, eftersom CA-åtgärder sällan producerar granskningsbara felhändelser i praktiken.

Tillämpa detta gruppolicyobjekt på den organisationsenhet (OU) som innehåller dina CA-servrar för att säkerställa att policyn är korrekt avgränsad och inte oavsiktligt påverkar andra servrar. Efter att du har tillämpat den, kör gpupdate /force på CA-servern för att uppdatera policyn omedelbart.

VarningOm du tillämpar avancerad konfiguration av granskningsprinciper via GPO återställs alla granskningsunderkategorier som inte uttryckligen definierats i samma GPO i tysthet, inklusive inloggning/utloggning, kontoinloggning, behörighetsanvändning och andra kategorier som din miljö redan kan förlita sig på. Alla odefinierade underkategorier hamnar i kategorin "Ingen granskning", vilket kan bryta en befintlig granskningsbaslinje utan fel eller varningar.

Arbetsflödet för säkerhetskopiering och import som beskrivs nedan är den metod som Microsoft rekommenderar för att bevara din befintliga granskningsbaslinje innan du tillämpar detta grupprincipobjekt. Kör:

auditpol.exe /backup /fil:auditbaseline.csv

Importera sedan den baslinjen till ditt CA GPO och ändra endast underkategorin Certifieringstjänster. Detta säkerställer att alla andra granskningskategorier bevaras, och att du bara lägger till i den befintliga policyn, inte ersätter den.

Obs: Om AD CS har installerats på en domänkontrollant konfigurerar du granskningsprincipen i GPO:t för standardprincipen för domänkontrollanter. Om AD CS har installerats på en Windows-server konfigurerar du granskningsprincipen i ett dedikerat GPO som tillämpas på den serverns OU.

Steg 3: Aktivera bearbetning av underkategorier för granskning

Steg 3 är funktionellt obligatoriskt i domänanslutna och GPO-hanterade miljöer, vilket täcker den stora majoriteten av ADCS-distributioner för företag. Det är tekniskt sett valfritt endast på fristående CA:er utan någon GPO-granskningspolicy på plats.

Steg 1 och 2 är det minimum som krävs för att generera CA-granskningshändelser. Steg 3 och 4 är starkt rekommenderade förstärkningsåtgärder som förhindrar att din underkategorikonfiguration åsidosätts eller kringgås i tysthet.

Utan den här inställningen kan äldre revisionspolicyer på kategorinivå i tysthet åsidosätta dina mer detaljerade underkategorikonfigurationer, vilket innebär att din inställning för revisionscertifieringstjänster kanske aldrig träder i kraft. För att förhindra detta, konfigurera systemet explicit för att prioritera policyer på underkategorinivå.

Navigera till:

Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ

Ställ in "Granskning: Tvinga inställningar för underkategorier för granskningspolicyer (Windows Vista eller senare) att åsidosätta inställningar för kategorier för granskningspolicyer" till Aktiverad.

Detta säkerställer att policyn på underkategorinivå för revisionscertifieringstjänster har företräde framför alla inställningar för "Åtkomst till revisionsobjekt" på kategorinivå som redan finns i din miljö.

Obs: När bearbetning av underkategorier har tillämpats kommer alla GPO som definierar inställningar för avancerade granskningspolicyer att ta full kontroll över dessa underkategorier. Se till att ditt GPO inkluderar alla underkategorier du förlitar dig på, inte bara certifieringstjänster, för att undvika att oavsiktligt tysta andra granskningskategorier.

Steg 4: Aktivera registergranskning

Vissa ändringar i CA-konfigurationen kan göras direkt via registret, och kringgå standardgranskningskanalerna. För att säkerställa att även dessa ändringar registreras bör registergranskning aktiveras på CA-serverns registernyckel för certifikattjänster.

AnmärkningarRegistrets SACL:er genererar inte granskningshändelser ensamma. Objektåtkomst → Register Underkategorin för granskning måste också aktiveras via auditpol eller grupprincip för att registeråtkomsthändelser ska loggas.

Utför följande steg för att aktivera registergranskning:

1. Öppet regedit på ADCS-servern.
2. Navigera till följande registernyckel:
   HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\
3. Högerklicka på konfiguration och välj behörigheter.
4. Klicka på Säkerhet fliken och klicka sedan på Advanced Open water.
5. Välj Revision fliken och klicka Lägg till.
6. Ställ in huvudpersonen på Autentiserade användare och konfigurera följande SACL-behörigheter:
   • Satt värde
   • Skapa undernyckel
   • Radera
   • Skriv DAC
   • Skriv ägare

När du har konfigurerat registergranskning, starta om certifikattjänsterna och kör gpupdate /force för att säkerställa att alla inställningar tillämpas. Du bör då se registerrelaterade händelse-ID:n (t.ex. händelse-ID 4657: Ett registervärde ändrades) visas i säkerhetsloggen tillsammans med standard CA-granskningshändelser.

Följande utdata visar de tillgängliga auditpol-kommandona. Använd detta som referens när du verifierar eller ändrar inställningar för granskningspolicyer på din CA-server:

Att köra auditpol /list /category returnerar alla övergripande revisionspolicykategorier som finns tillgängliga i systemet. Certifieringstjänster faller under Objektåtkomst kategori, vilket är där underkategorin för CA-granskning konfigureras:

Följande utdata visar hur auditpol /get visar de aktuella granskningsinställningarna för en specifik kategori, uppdelade efter underkategori och deras konfigurerade status. Samma metod används för att verifiera att Audit Certification Services under Object Access är inställda på Lyckades och Misslyckades efter att du har tillämpat ditt GPO:

Verifiera din konfiguration

När du har slutfört alla steg, verifiera att konfigurationen fungerar från början till slut innan du förlitar dig på den för övervakning eller efterlevnad.

• Körning auditpol /get /category:* och bekräfta att Certifieringstjänster under Objektåtkomst visar framgång och Misslyckande är aktiverade.
• Körning certutil -getreg ca\auditfilter och verifiera att det returnerade värdet är 0x7f (hexadecimal), vilket motsvarar 127 i decimal. Windows visar vanligtvis värdet i hexadecimalt (0x7f), medan 127 används vanligtvis när inställningen konfigureras via certutil.
• Öppet Loggboken på CA-servern och navigera till:
  Windows-loggar → Säkerhet
• Utför en teståtgärd för att bekräfta att granskningshändelser pågår. Viktiga händelse-ID:n att leta efter listas nedan:

• Kör gpresult /r på CA-servern och bekräfta att rätt GPO har tillämpats på maskinen.

Även om manuell konfiguration är effektivt kan det bli komplext att hantera revisionspolicyer i stor skala över flera CA:er, och det är här CertSecure Manager kommer in i bilden.

Hur kan krypteringskonsultation hjälpa till?

Krypteringskonsulting erbjuder specialiserade tjänster för att identifiera sårbarheter och minska risker genom att tillhandahålla PKI-tjänsterVår strategiska vägledning anpassar PKI-lösningar till organisationens mål, vilket ökar effektiviteten och minimerar kostnaderna. Genom att samarbeta med Encryption Consulting kan organisationer frigöra den fulla potentialen hos PKI-lösningar, realisera konkreta ekonomiska fördelar samtidigt som de upprätthåller starka säkerhetsåtgärder. 

Vår PKI-bedömningstjänster tillhandahålla en omfattande utvärdering av er befintliga ADCS-miljö och identifiera luckor i CA-hygien, säkerhetskopieringsrutiner, CRL/AIA-konfiguration och databashälsa. Oavsett om er CA-databas har vuxit okontrollerat med tiden eller om era underhållsprocesser saknar struktur, levererar vårt team en detaljerad riskrapport tillsammans med en prioriterad färdplan för att återställa er PKI till ett hälsosamt och granskningsbart tillstånd. 

CertSecure-hanterare

Krypteringskonsulttjänster CertSecure-hanterare är en leverantörsneutral lösning för hantering av certifikatlivscykeln som centraliserar identifiering, automatisering, registrering, policytillämpning och integrationer. Den förhindrar avbrott med automatiserade förnyelser, förbättrar efterlevnad, effektiviserar IT-driften och förenar hanteringen av offentliga och privata certifikatutfärdare genom en enda, automatiserad och skalbar plattform. 

• Automatisering för kortlivade certifikat: Med ACME- och 90-dagars/47-dagars TLS-certifikat som blir standard är manuell förnyelse inte längre ett praktiskt alternativ. CertSecure Manager automatiserar registrering, förnyelse och driftsättning för att säkerställa att certifikat aldrig går ut obemärkt.
• Sömlös DevOps- och molnintegration: Certifikat kan tillhandahållas direkt till webbservrar och molninstanser och integreras med moderna loggverktyg som Datadog och Splunk, ITSM-plattformar som ServiceNow och DevOps-verktyg inklusive Terraform och Ansible.
• Stöd för flera CA: Många organisationer använder flera certifikatutfärdare, inklusive interna Microsoft-certifikatutfärdare och publika certifikatutfärdare som DigiCert och GlobalSign. CertSecure Manager integreras mellan dessa källor och ger en enda överblick över certifikatutfärdande och livscykelhantering.
• Enhetliga utgivnings- och förnyelsepolicyer: CertSecure Manager tillämpar organisatoriska standarder för nyckelstorlekar, algoritmer och förnyelsepolicyer konsekvent över alla certifikat. Utöver att automatisera förnyelser över flera certifikatutfärdare säkerställer det att varje certifikat överensstämmer med företagets säkerhetskrav.
• Proaktiv övervakning och förnyelsetestning: Kontinuerlig övervakning, i kombination med simulerade förnyelse- och utgångstester, hjälper till att identifiera risker innan certifikat påverkar produktionssystemen.
• Revisionssynlighet och efterlevnadsrapportering: CertSecure Manager ger centraliserad insyn i certifikatutfärdande, förnyelse, återkallelse och policyrelaterade aktiviteter. Integrerad rapportering och SIEM-vänlig loggning hjälper säkerhetsteam att undersöka certifikatrelaterade händelser, övervaka operativa avvikelser och upprätthålla bevis på efterlevnad i företags-PKI-miljöer.
• Centraliserad synlighet och efterlevnad: En konsoliderad instrumentpanel visar alla certifikat, nyckellängder, starka och svaga algoritmer och utgångsdatum. Revisionsspår och policytillämpning förenklar efterlevnaden av ramverk som PCI DSS och HIPAA.

Slutsats

Att aktivera CA Advanced Audit Filter är ett av de mest effektiva stegen en organisation kan ta för att bygga en verkligt säker PKI-arkitektur. Genom att aktivera Advanced Audit Filter för alla sju händelsekategorier, konfigurera policyn på operativsystemnivå för att fånga dessa händelser i säkerhetsloggen och säkerställa att underkategoriinställningar tillämpas korrekt, får organisationer fullständig insyn i livscykeln för varje certifikat och varje administrativ åtgärd som vidtas inom deras CA-miljö.

Säkerhetsteam får möjlighet att upptäcka avvikande certifikatutfärdanden i nära realtid, korrelera CA-aktivitet med bredare hotsignaler i sin SIEM och producera revisionsklara bevis på begäran – utan att behöva kämpa för att rekonstruera aktivitet i efterhand. Incidentbehandlare behöver inte längre gissa om ett certifikat har utfärdats, återkallats eller manipulerats; säkerhetsloggen berättar historien exakt.

För efterlevnad lämnar varje administrativ åtgärd som vidtas inom CA-miljön ett spårbart, tidsstämplat fotavtryck som mappas direkt till kontroller i PCI DSS-, HIPAA- och NIST-ramverk.