No Windows há um Armazenamento de Certificados, onde usuários e administradores (dependendo da configuração) podem fazer as alterações: adicionar CA raiz, modificar CRL, etc. Parece ser um local bastante crítico na segurança do sistema. Então chego à questão:
O Windows pode ser configurado para registrar alterações no Armazenamento de Certificados em sua funcionalidade de log padrão, EventLog?
Até agora, só consegui obter um evento certificado removido (ID 1004) de CertificateServicesClient-Lifecycle log, mas nada sobre certificado adicionado ou qualquer outra coisa.
Upd .: Eu tentei o Windows Server 2012 R2 e o Windows 10 e obtive os mesmos resultados.
Upd.2: Tentei também em uma nova instalação do Windows 8: obtive os mesmos resultados. O que deve ser configurado para ativar esses registros?
Confirmei que o Windows Server 2012 R2 e 2016 fornecem dados de eventos para:
1001 Certificate Replaced
1002 Certificate Expired
1003 Certificate Expiration Approaching
1004 Certificate Deleted
1005 Certificate Archived
1006 Certificate Installed
Com o mesmo nível de detalhes (Assunto, Impressão digital, EKU, Expiração, conta do assunto).
Você provavelmente precisará fornecer mais detalhes sobre sua plataforma e seu ambiente.
Tags windows windows-event-log pki