Ansichten:

Verwalten Sie Ihre Einstellungen für den Zertifikatsstellen-Auditfilter, um sicherzustellen, dass der Identity Security Sensor alle Windows-Ereignisse erkennen und protokollieren kann.

Wenn Sie die Active Directory-Überwachung für den Identity Security Sensor auf einem Endpunkt aktivieren, konfiguriert das TrendAI Vision One™ Endpunkt-Security Agent automatisch die Windows-Audit-Richtlinie für die Unterkategorie Zertifizierungsdienste. Die Einstellungen des Audit-Filters der Zertifizierungsstelle (CA) müssen jedoch manuell vom Serveradministrator konfiguriert werden. Dies liegt daran, dass Windows standardmäßig keine Protokolle für Sicherheitsereignisse 4886 (Zertifikatanforderung empfangen) und 4887 (Zertifikat ausgestellt) generiert. Wenn Sie nach der Aktivierung des Identity Security Sensors und der Active Directory-Überwachung auf einem Endpunkt diese Protokolle nicht sehen, verwenden Sie diese Schritte, um den Endpunkt zu konfigurieren.

Prozedur

  1. Überprüfen Sie die Endpunktkonfiguration.
    Der Endpunkt muss folgende Voraussetzungen erfüllen:
    • Betriebssystem ist Windows Server
    • Endpunkt führt Active Directory-Zertifikatsdienste mit einer Unternehmens-Stammzertifizierungsstelle aus
    Hinweis
    Hinweis
    Der Identity Security Sensor erfordert nicht die Installation von Active Directory-Zertifikatsdiensten auf einem Domänencontroller. Die CA-Rolle kann auf einem dedizierten Mitgliedsserver ausgeführt werden.
  2. Prüfen Sie den CA-Status.
    1. Führen Sie auf dem CA-Server PowerShell als Administrator aus.
    2. Um zu überprüfen, ob die CA funktionsfähig ist, führen Sie den Befehl certutil -ping aus.
    3. Wenn der Befehl einen Exit-Code ungleich null zurückgibt, überprüfen Sie, ob Zertifikatdienste (certsvc) ausgeführt werden.
      Führen Sie den Befehl sc query certsvc aus.
    4. Wenn der Dienst gestoppt ist, führen Sie den Befehl net start certsvc aus, um den Dienst zu starten.
      Wenn der Dienst nicht startet oder certutil -ping weiterhin fehlschlägt, muss die CA möglicherweise repariert werden. Wenden Sie sich an Ihren Active Directory- oder PKI-Administrator, um Unterstützung zu erhalten.
  3. Sobald Sie überprüft haben, dass CA läuft, überprüfen Sie den aktuellen Wert des Audit-Filters.
    Um den Wert zu überprüfen, führen Sie den Befehl certutil -getreg CA\AuditFilter aus. Notieren Sie sich den aktuellen Wert.
  4. Setzen Sie den Registrierungswert des Auditfilters, um die Überwachung von Zertifikatanforderungen zu aktivieren.
    • Wenn der aktuelle Wert 0 ist (Standard, keine Überprüfung), setzen Sie den Wert auf 4.
      certutil -setreg CA\AuditFilter 4
    • Wenn der aktuelle Wert ungleich null ist, kombinieren Sie den aktuellen Wert mit 4 unter Verwendung von bitweisem ODER.
      certutil -setreg CA\AuditFilter <new_value>
      Zum Beispiel, wenn der aktuelle Wert 3 ist, setzen Sie den Registrierungswert des Audit-Filters auf 7.
      certutil -setreg CA\AuditFilter 7
    Weitere Informationen zu CA-Auditfilterwerten finden Sie im Microsoft-Leitfaden Securing PKI: Anhang B: Zertifizierungsstellen-Auditfilter.
  5. Zertifikatdienste neu starten.
    Wichtig
    Wichtig
    Der Audit-Filter wendet Änderungen erst an, wenn die Zertifikatdienste neu gestartet werden. Ein Neustart von certsvc unterbricht vorübergehend die Zertifikatsregistrierung und -ausstellung. TrendAI™ empfiehlt, diesen Schritt während eines Wartungsfensters einzuplanen.
    1. Um den Dienst zu stoppen, führen Sie den Befehl net stop certsvc aus.
    2. Um den Dienst zu starten, führen Sie den Befehl net start certsvc aus.
  6. Um die neue Konfiguration zu überprüfen, führen Sie den Befehl certutil -getreg CA\AuditFilter aus.
    Wenn erfolgreich, gibt der Befehl Folgendes zurück:
    AuditFilter REG_DWORD = <new_value>
CertUtil: -getreg command completed successfully.
    Wo <new_value> der von Ihnen angegebene Wert ungleich null ist, wenn Sie den Audit-Filter-Registrierungswert festgelegt haben. Wenn der Wert 0 anzeigt, wurde der Audit-Filter nicht konfiguriert.
  7. Wenn Sie den Audit-Filter auf den ursprünglichen Wert zurücksetzen müssen, verwenden Sie die folgenden Befehle, um den ursprünglichen Registrierungswert wiederherzustellen und die Zertifikatdienste neu zu starten.
    certutil -setreg CA\AuditFilter <old_value>
net stop certsvc
net start certsvc
    Wo <old_value> der ursprüngliche zurückgegebene Wert ist.