Windows - Registrando alterações no Armazenamento de Certificados

2

No Windows há um Armazenamento de Certificados, onde usuários e administradores (dependendo da configuração) podem fazer as alterações: adicionar CA raiz, modificar CRL, etc. Parece ser um local bastante crítico na segurança do sistema. Então chego à questão:

O Windows pode ser configurado para registrar alterações no Armazenamento de Certificados em sua funcionalidade de log padrão, EventLog?

Até agora, só consegui obter um evento certificado removido (ID 1004) de CertificateServicesClient-Lifecycle log, mas nada sobre certificado adicionado ou qualquer outra coisa.

Upd .: Eu tentei o Windows Server 2012 R2 e o Windows 10 e obtive os mesmos resultados.

Upd.2: Tentei também em uma nova instalação do Windows 8: obtive os mesmos resultados. O que deve ser configurado para ativar esses registros?

    
por Mikhail 02.07.2017 / 08:13

1 resposta

1

Confirmei que o Windows Server 2012 R2 e 2016 fornecem dados de eventos para:

1001 Certificate Replaced  
1002 Certificate Expired  
1003 Certificate Expiration Approaching  
1004 Certificate Deleted  
1005 Certificate Archived  
1006 Certificate Installed  

Com o mesmo nível de detalhes (Assunto, Impressão digital, EKU, Expiração, conta do assunto).

Você provavelmente precisará fornecer mais detalhes sobre sua plataforma e seu ambiente.

link

    
por 02.07.2017 / 15:21