Servizi certificati: impossibile aggiornare le autorizzazioni di protezione.
Le autorizzazioni per il controllo di accesso dell'autorità di certificazione (CA) garantiscono che i componenti e gli utenti autorizzati possano completare le attività richieste. Gli errori nel controllo di accesso possono indicare potenziali problemi associati all'uso inadeguato o all'insufficienza delle autorizzazioni.
Aggiornamento delle autorizzazioni di protezione di un account utente autorizzato
Verificare che l'utente che ha tentato di aggiornare le autorizzazioni di protezione sia stato autorizzato a impostare le autorizzazioni per gli oggetti di Servizi certificati Active Directory.
Se non si desidera che all'utente venga impedito di modificare le autorizzazioni per gli oggetti di Servizi certificati Active Directory, è necessario:
Attivare il controllo sull'Autorità di certificazione (CA).
Concedere all'utente le autorizzazioni necessarie di amministratore della CA e gestore di certificati sulla CA.
Completare l'operazione come un utente autorizzato.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Abilitare il controllo su una CA
Per attivare il controllo su una CA:
Nel computer in cui si trova la CA fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi fare clic su Proprietà.
Fare clic sulla scheda Controllo, quindi fare clic su Modifica impostazioni di protezione CA.
Riavviare la CA.
Prima di disattivare il controllo della CA, controllare le azioni amministrative sulla CA per diverse settimane o fino a quando si è soddisfatti che non sono probabili altri attacchi.
Nota: per poter controllare gli eventi, il computer deve essere anche configurato per il controllo dell'accesso agli oggetti. Le opzioni dei criteri di controllo possono essere visualizzate e gestite in Criteri di gruppo locale o di dominio, nel percorso Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali.
Concedere le autorizzazioni di amministratore e gestore di certificati per la CA
Per impostare le autorizzazioni di sicurezza degli amministratori della CA e dei gestori di certificati per una CA:
Nel computer in cui si trova la CA fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Nell'albero della console fare clic sul nome della CA.
Fare clic su Proprietà nel menu Azione.
Fare clic sulla scheda Protezione e specificare le autorizzazioni di protezione.
Completare l'operazione di gestione della CA come utente autorizzato.
Per altre informazioni sui ruoli e sulle autorizzazioni di protezione disponibili per una CA, vedere "Implementare l'amministrazione basata sui ruoli" nella Guida dell'Autorità di certificazione ( http://go.microsoft.com/fwlink/?LinkId=104188).
Per verificare che il contesto di accesso della CA sia corretto:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic Servizi.
Verificare che nella colonna Stato del servizio Servizi certificati Active Directory venga visualizzato Avviato.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>