Certifikační služba nemohla aktualizovat oprávnění zabezpečení.
Oprávnění k řízení přístupu certifikační autority (CA) zajišťují, že požadované úlohy mohou provádět pouze autorizované komponenty a uživatelé. Chyby řízení přístupu mohou identifikovat potenciální problémy související s nedostatečnými oprávněními nebo jejich nepřípustným použitím.
Aktualizujte oprávnění zabezpečení pomocí účtu autorizovaného uživatele
Zkontrolujte, zda byl uživatel, který se pokusil o aktualizaci oprávnění zabezpečení, autorizován k nastavování oprávnění objektů služby AD CS (Active Directory Certificate Services).
Pokud jste neměli v úmyslu znemožnit uživateli upravovat oprávnění u objektů služby AD CS, musíte provést následující kroky:
Zapněte na certifikační autoritě (CA) auditování.
Přidělte uživateli potřebná oprávnění správce CA a správce certifikátů na CA.
Proveďte operaci jako autorizovaný uživatel.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Povolení auditování na certifikační autoritě
Postup povolení auditování na certifikační autoritě:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.
Klikněte na kartu Auditování a klikněte na Změna nastavení zabezpečení certifikační autority.
Restartujte certifikační autoritu.
Po dobu několika týdnů, nebo dokud se nepřesvědčíte, že nejsou pravděpodobné žádné další útoky, auditujte administrativní akce na certifikační autoritě a až poté vypněte auditování certifikační autority.
Poznámka: Má-li se provádět auditování událostí, musí být počítač nakonfigurován rovněž k auditování přístupu k objektu. Možnosti zásad auditu lze prohlížet a spravovat v místních nebo doménových zásadách skupiny ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditování.
Přidělení oprávnění správce a správce certifikátů na certifikační autoritě
Nastavení oprávnění zabezpečení správce CA a správce certifikátů pro certifikační autoritu:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Ve stromu konzoly klikněte na název certifikační autority.
V nabídce Akce klikněte na položku Vlastnosti.
Klikněte na kartu Zabezpečení a zadejte oprávnění zabezpečení.
Proveďte operaci správy certifikační autority jako autorizovaný uživatel.
Další informace o rolích a oprávněních zabezpečení, které jsou k dispozici pro certifikační autoritu, najdete v tématu „Implementace správy na základě rolí“ v nápovědě k certifikační autoritě ( http://go.microsoft.com/fwlink/?LinkId=104188).
Postup ověření správnosti kontextu přihlášení certifikační autority:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Zkontrolujte, zda se v položce Stav pro službu AD CS (Active Directory Certificate Services) zobrazuje slovo Spuštěno.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>