認証局の監査フィルターを構成して、Windowsイベント4886および4887を記録します

手順

1. エンドポイント構成を確認してください。
   エンドポイントは次の要件を満たしている必要があります。

   • OS は Windows Server
   • エンドポイントはActive Directory証明書サービスを実行しており、エンタープライズルート認証局を使用しています

   注意 Identity SecurityセンサはドメインコントローラにActive Directory証明書サービスをインストールする必要はありません。CAロールは専用のメンバーサーバで実行できます。

2. CAステータスを確認してください。
   1. CAサーバで、PowerShellを管理者として実行してください。
   2. CAが機能していることを確認するには、コマンドcertutil -pingを実行してください。
   3. コマンドがゼロ以外の終了コードを返した場合は、Certificate Services (certsvc) が実行されていることを確認してください。
      コマンドsc query certsvcを実行します。
   4. サービスが停止している場合は、サービスを開始するためにコマンドnet start certsvcを実行してください。
      サービスが開始に失敗した場合、またはcertutil -pingが引き続き失敗する場合、CAの修復が必要かもしれません。Active DirectoryまたはPKI管理者に連絡して支援を求めてください。
3. CAが実行されていることを確認したら、現在の監査フィルター値を確認してください。
   値を確認するには、コマンド certutil -getreg CA\AuditFilter を実行します。現在の値をメモしてください。
4. 証明書要求の監査を有効にするために、監査フィルターのレジストリ値を設定します。
   • 現在の値が0 (デフォルト、監査なし) の場合、値を4に設定してください。
     certutil -setreg CA\AuditFilter 4
   • 現在の値がゼロでない場合、現在の値と4をビット単位のORで結合します。
     certutil -setreg CA\AuditFilter <new_value>
     例えば、現在の値が3の場合、監査フィルターのレジストリ値を7に設定してください。
     certutil -setreg CA\AuditFilter 7
   CA監査フィルター値の詳細については、MicrosoftガイドPKIのセキュリティ: 付録B: 認証局監査フィルターを参照してください。
5. 証明書サービスを再起動します。

   重要 監査フィルターは、証明書サービスが再起動されるまで変更を適用しません。certsvcを再起動すると、証明書の登録と発行が一時的に中断されます。TrendAI™は、この手順をメンテナンスウィンドウ中にスケジュールすることを推奨します。

   1. サービスを停止するには、コマンドnet stop certsvcを実行してください。
   2. サービスを開始するには、コマンドnet start certsvcを実行してください。
6. 新しい構成を確認するには、コマンドcertutil -getreg CA\AuditFilterを実行してください。
   成功すると、コマンドは次の結果を返します。

   AuditFilter REG_DWORD = <new_value>
   CertUtil: -getreg command completed successfully.

   <new_value>は、監査フィルターのレジストリ値を設定する際に指定した0以外の値です。値が0と表示される場合、監査フィルターは構成されていません。
7. 監査フィルターを元の値に戻す必要がある場合は、次のコマンドを使用して元のレジストリ値に戻し、証明書サービスを再起動してください。

   certutil -setreg CA\AuditFilter <old_value>
   net stop certsvc
   net start certsvc

   <old_value>は返された元の値です。