www.SAMURAJ-cz.com 

18.12.2017 Miloslav Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Microsoft Certification Authority Auditing

Pondělí, 13.01.2014 17:05 | Samuraj - Petr Bouška |
Když provozujeme certifikační autoritu od MS, což se hodí skoro pro každou firmu, tak je dobré nastavit určité logování operací. Do té doby můžeme sledovat informace, třeba o selhání vystavení certifikátu, pouze v konzoli certifikační autority. Článek je pouze pro přehled, stejné informace nalezneme přímo u MS.

Logování událostí CA

Pokud zapneme auditování na Certification Authority (CA), tak se nám budou události zapisovat do standardního Windows Event Logu Security. Zapnutí logování se provádí ve dvou krocích. Nejprve zvolíme, jaké události chceme sledovat, poté musíme zapnout vlastní logování.

Nastavení auditování událostí CA

  • otevřeme Certification Authority snap-in pro MMC
  • klikneme pravým tlačítkem na název naší CA a zvolíme Properties
  • přepneme se na záložku Auditing
  • zde zvolíme události, které chceme zaznamenávat
Certification Authority Auditing

Následně je třeba restartovat CA, třeba opět v kontextovém menu autority All Tasks - Stop Service a následně Start Service.

Zapnutí auditování

I když jsme výše nastavili události, které chceme zaznamenávat, tak logování nezačne. Musíme jej totiž nastavit pomocí auditovací politiky, kterou konfigurujeme v lokální nebo doménové Group Policy. Ukážeme si příklad na Domain Group Policy, kde musíme zvolit nějakou GPO, která je aplikována na server, kde běží CA.

  • spustíme Group Policy Management
  • vytvoříme novou, nebo otevřeme existující, politiku v Group Policy Management Editor
  • proklikáme se do Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy, kde zapneme Audit object access
  • nebo lépe, na novějších Windows (od Windows Server 2008 R2), se proklikáme do Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policy/Object Access, zde nastavíme Audit Certification Services (většinou Success i Failure)

Nyní je třeba počkat nebo ručně vynutit aplikování politiky a události na CA by se měli začít logovat.

Zobrazení událostí

Události se ukládají do Security logu, který většinou obsahuje velké množství různých událostí. Proto si musíme umět vybrat, co nás zajímá. Seznam Event ID, pro autoritu běžící na Windows Server 2008 R2, je v článku Audit Certification Services. Jde o rozsah Event ID od 4868 do 4898, například ID 4887 je vystavení certifikátu a ID 4888 odmítnutí vystavení certifikátu.

Jednoduchým řešením je nastavení filtru. Klikneme pravým tlačítkem na Security log a zvolíme Filter Current Log. Můžeme nastavit Event ID, která nás zajímají (třeba celý rozsah 4868 - 4898) nebo zvolit Event sources na Microsoft Windows security auditing, a k tomu Task category na Certification Services. Pak se nám zobrazí všechny události, které se týkají CA.

Event Log Filter
Filtrované události

Oprávnění na CA

Malá poznámka z jiné oblasti. Certifikační autorita je brána jako důležitý bezpečnostní prvek. Oprávnění můžeme řídit mnoha způsoby, kde máme řadu rolí jako Certificate Manager, CA administrator, Enrollment Agent a další. Můžeme využít Role-Based Administration.

Hlavní oprávnění se nastavují jednoduše přímo na autoritě. Pokud třeba chceme dát nějakému uživateli oprávnění zobrazit všechny parametry CA (bez toho, že by mohl něco měnit), tak to můžeme provést následně. Pro přístup pak uživatel využije Certification Authority snap-in, který si může nainstalovat na stanici z Remote Server Administration Tools (RSAT).

  • otevřeme Certification Authority snap-in pro MMC
  • klikneme pravým tlačítkem na název naší CA a zvolíme Properties
  • přepneme se na záložku Security
  • zde přidáme uživatele (nebo lépe skupinu) a nastavíme oprávnění Read
zobrazeno: 5807krát | Komentáře [0]

Autor:

Související články:

Active Directory a protokol LDAP

Správa počítačové sítě ala Microsoft, to je Active Directory. Jedná se o velice rozsáhlou skupinu technologií a služeb. Základem jsou adresářové služby, adresáře a komunikační protokol LDAP.

Group Policy

Základem centrální správy počítačů v doméně jsou určitě skupinové politiky (Group Policy). Pomocí nich můžeme řídit nastavení, bezpečnost a chování pracovních stanic a serverů.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách