Microsoft Certification Authority Auditing -> SAMURAJ-cz.com

Pondělí, 13.01.2014 17:05 | Samuraj - Petr Bouška | Microsoft admin

Když provozujeme certifikační autoritu od MS, což se hodí skoro pro každou firmu, tak je dobré nastavit určité logování operací. Do té doby můžeme sledovat informace, třeba o selhání vystavení certifikátu, pouze v konzoli certifikační autority. Článek je pouze pro přehled, stejné informace nalezneme přímo u MS.

Logování událostí CA

Pokud zapneme auditování na Certification Authority (CA), tak se nám budou události zapisovat do standardního Windows Event Logu Security. Zapnutí logování se provádí ve dvou krocích. Nejprve zvolíme, jaké události chceme sledovat, poté musíme zapnout vlastní logování.

Nastavení auditování událostí CA

otevřeme Certification Authority snap-in pro MMC
klikneme pravým tlačítkem na název naší CA a zvolíme Properties
přepneme se na záložku Auditing
zde zvolíme události, které chceme zaznamenávat

Následně je třeba restartovat CA, třeba opět v kontextovém menu autority All Tasks - Stop Service a následně Start Service.

Zapnutí auditování

I když jsme výše nastavili události, které chceme zaznamenávat, tak logování nezačne. Musíme jej totiž nastavit pomocí auditovací politiky, kterou konfigurujeme v lokální nebo doménové Group Policy. Ukážeme si příklad na Domain Group Policy, kde musíme zvolit nějakou GPO, která je aplikována na server, kde běží CA.

spustíme Group Policy Management
vytvoříme novou, nebo otevřeme existující, politiku v Group Policy Management Editor
proklikáme se do Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy, kde zapneme Audit object access
nebo lépe, na novějších Windows (od Windows Server 2008 R2), se proklikáme do Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policy/Object Access, zde nastavíme Audit Certification Services (většinou Success i Failure)

Nyní je třeba počkat nebo ručně vynutit aplikování politiky a události na CA by se měli začít logovat.

Zobrazení událostí

Události se ukládají do Security logu, který většinou obsahuje velké množství různých událostí. Proto si musíme umět vybrat, co nás zajímá. Seznam Event ID, pro autoritu běžící na Windows Server 2008 R2, je v článku Audit Certification Services. Jde o rozsah Event ID od 4868 do 4898, například ID 4887 je vystavení certifikátu a ID 4888 odmítnutí vystavení certifikátu.

Jednoduchým řešením je nastavení filtru. Klikneme pravým tlačítkem na Security log a zvolíme Filter Current Log. Můžeme nastavit Event ID, která nás zajímají (třeba celý rozsah 4868 - 4898) nebo zvolit Event sources na Microsoft Windows security auditing, a k tomu Task category na Certification Services. Pak se nám zobrazí všechny události, které se týkají CA.

Oprávnění na CA

Malá poznámka z jiné oblasti. Certifikační autorita je brána jako důležitý bezpečnostní prvek. Oprávnění můžeme řídit mnoha způsoby, kde máme řadu rolí jako Certificate Manager, CA administrator, Enrollment Agent a další. Můžeme využít Role-Based Administration.

Hlavní oprávnění se nastavují jednoduše přímo na autoritě. Pokud třeba chceme dát nějakému uživateli oprávnění zobrazit všechny parametry CA (bez toho, že by mohl něco měnit), tak to můžeme provést následně. Pro přístup pak uživatel využije Certification Authority snap-in, který si může nainstalovat na stanici z Remote Server Administration Tools (RSAT).

otevřeme Certification Authority snap-in pro MMC
klikneme pravým tlačítkem na název naší CA a zvolíme Properties
přepneme se na záložku Security
zde přidáme uživatele (nebo lépe skupinu) a nastavíme oprávnění Read

zobrazeno: 11844krát | Komentáře [0]

Autor: Petr Bouška

Související články:

Active Directory a protokol LDAP

Správa počítačové sítě ala Microsoft, to je Active Directory. Jedná se o velice rozsáhlou skupinu technologií a služeb. Základem jsou adresářové služby, adresáře a komunikační protokol LDAP.

Adresářové služby a LDAP [14.09.2007 14:11]
Autentizace v LDAPu (AD) [28.10.2007 14:32]
Jak na LDAP a LDAPS v PHP pod Windows [02.11.2007 16:52]
Autentizace uživatele vůči AD v PHP [06.11.2007 18:18]
Rozšíření Active Directory Users And Computers o editaci employeeID [03.12.2007 14:25]
Active Directory komponenty - domain, tree, forest, site [08.02.2008 19:01]
Převod domény z Windows Server 2003 na Windows Server 2008 R2 [31.03.2010 08:47]
Kerberos protokol a Single sign-on [15.09.2010 18:33]
Kerberos SSO - nastavení Internet Exploreru a Firefoxu [16.09.2010 15:53]
Kerberos SSO v PHP aplikaci s Apachem na Linuxu [22.09.2010 17:58]
Active Directory - fotografie u uživatelů nejen pro Outlook 2010 [20.10.2010 09:55]
Active Directory a personální data uživatelů - PowerShell [30.10.2010 13:19]
PowerShell - Active Directory [14.11.2010 13:13]
Auditování AD DS objektů ve Windows Server 2008 [26.03.2011 19:23]
Active Directory Recycle Bin [31.03.2011 15:48]
Exchange Server, Outlook a certifikáty v GALu [27.12.2011 14:48]
Migrace replikací SYSVOLu z FRS na DFSR [13.03.2012 15:47]
Windows Server 2012 Active Directory [01.10.2012 17:48]
Microsoft Certification Authority Auditing [13.01.2014 17:05] ...... právě čtete
Kerberos autentizace a členství ve skupinách [16.01.2014 10:22]
Kerberos část 6 - Kerberos SSO mezi doménami [23.04.2014 15:03]
Kerberos část 7 - Troubleshooting Kerberos SSO [03.05.2014 11:30]
Kerberos část 1 - Active Directory komponenty [13.06.2014 14:28]
Kerberos část 2 - AD uživatelské účty a Service Principal Name [16.06.2014 08:51]
Převod domény z Windows Server 2008 R2 na Windows Server 2012 R2 [09.12.2015 20:33]
Převod Microsoft Certification Authority z SHA1 na SHA2 [04.02.2016 22:44]
Auditování bezpečnostních událostí Windows v doméně [06.06.2018 13:52]
Změna hesla nebo jména doménového účtu [13.08.2021 09:50]
Microsoft NPS jako RADIUS pro WiFi [21.09.2023 10:32]
Kerberos deaktivace RC4 část 1 - princip protokolu a typy šifrování [26.02.2024 13:49]
Kerberos deaktivace RC4 část 2 - přechod z RC4 na AES [28.02.2024 12:57]

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.

Nastavení přihlašování do domény pomocí Smart Card [12.07.2006 16:04]
Group Policy Preferences, GPO, GPMC, GPME [16.03.2009 18:09]
Group Policy - řízení aplikace politik [12.12.2010 17:42]
Group Policy - Administrative Templates [19.01.2011 18:16]
Group Policy - Politiky hesel a zamykání účtů [21.02.2011 18:46]
MS Outlook a konfigurace pomocí Group Policy [23.03.2011 16:30]
Auditování AD DS objektů ve Windows Server 2008 [26.03.2011 19:23]
Microsoft Certification Authority Auditing [13.01.2014 17:05] ...... právě čtete
Auditování bezpečnostních událostí Windows v doméně [06.06.2018 13:52]
Nastavení výchozí (startovací, domácí) stránky ve webových prohlížečích [02.02.2024 18:08]

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

www.SAMURAJ-cz.com

Kategorie článků

Nástroje

Hledání

Články