Logování událostí CA
Pokud zapneme auditování na Certification Authority (CA), tak se nám budou události zapisovat do standardního Windows Event Logu Security. Zapnutí logování se provádí ve dvou krocích. Nejprve zvolíme, jaké události chceme sledovat, poté musíme zapnout vlastní logování.
Nastavení auditování událostí CA
- otevřeme Certification Authority snap-in pro MMC
- klikneme pravým tlačítkem na název naší CA a zvolíme Properties
- přepneme se na záložku Auditing
- zde zvolíme události, které chceme zaznamenávat
Následně je třeba restartovat CA, třeba opět v kontextovém menu autority All Tasks - Stop Service a následně Start Service.
Zapnutí auditování
I když jsme výše nastavili události, které chceme zaznamenávat, tak logování nezačne. Musíme jej totiž nastavit pomocí auditovací politiky, kterou konfigurujeme v lokální nebo doménové Group Policy. Ukážeme si příklad na Domain Group Policy, kde musíme zvolit nějakou GPO, která je aplikována na server, kde běží CA.
- spustíme Group Policy Management
- vytvoříme novou, nebo otevřeme existující, politiku v Group Policy Management Editor
- proklikáme se do Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy, kde zapneme Audit object access
- nebo lépe, na novějších Windows (od Windows Server 2008 R2), se proklikáme do Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policy/Object Access, zde nastavíme Audit Certification Services (většinou Success i Failure)
Nyní je třeba počkat nebo ručně vynutit aplikování politiky a události na CA by se měli začít logovat.
Zobrazení událostí
Události se ukládají do Security logu, který většinou obsahuje velké množství různých událostí. Proto si musíme umět vybrat, co nás zajímá. Seznam Event ID, pro autoritu běžící na Windows Server 2008 R2, je v článku Audit Certification Services. Jde o rozsah Event ID od 4868
do 4898
, například ID 4887
je vystavení certifikátu a ID 4888
odmítnutí vystavení certifikátu.
Jednoduchým řešením je nastavení filtru. Klikneme pravým tlačítkem na Security log a zvolíme Filter Current Log. Můžeme nastavit Event ID, která nás zajímají (třeba celý rozsah 4868 - 4898) nebo zvolit Event sources na Microsoft Windows security auditing, a k tomu Task category na Certification Services. Pak se nám zobrazí všechny události, které se týkají CA.
Oprávnění na CA
Malá poznámka z jiné oblasti. Certifikační autorita je brána jako důležitý bezpečnostní prvek. Oprávnění můžeme řídit mnoha způsoby, kde máme řadu rolí jako Certificate Manager, CA administrator, Enrollment Agent a další. Můžeme využít Role-Based Administration.
Hlavní oprávnění se nastavují jednoduše přímo na autoritě. Pokud třeba chceme dát nějakému uživateli oprávnění zobrazit všechny parametry CA (bez toho, že by mohl něco měnit), tak to můžeme provést následně. Pro přístup pak uživatel využije Certification Authority snap-in, který si může nainstalovat na stanici z Remote Server Administration Tools (RSAT).
- otevřeme Certification Authority snap-in pro MMC
- klikneme pravým tlačítkem na název naší CA a zvolíme Properties
- přepneme se na záložku Security
- zde přidáme uživatele (nebo lépe skupinu) a nastavíme oprávnění Read
Zatím zde nejsou žádné komentáře.