発行元 CertificationAuthority および ID 92 を所有するイベント向けの収集ルール

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92 (Rule)

証明書サービスはセキュリティのアクセス許可を更新できませんでした。

Knowledge Base article:

概要

証明機関 (CA) アクセスコントロール権限は、認証コンピューターおよびユーザーが必要なタスクを完了できるようにするものです。アクセスコントロールのエラーでは、不十分な権限や使用法が不適切な権限に関連付けられた、潜在的な問題を特定することができます。

解決方法

認証されたユーザーアカウントでセキュリティのアクセス許可を更新する

セキュリティのアクセス許可を更新しようとしているユーザーに、Active Directory 証明書サービス (AD CS) オブジェクト上でアクセス許可を設定する権限があることを確認します。

AD CS オブジェクト上のアクセス許可をユーザーが変更できるようにする場合は、以下を実行する必要があります。

証明機関 (CA) 上の監査を有効にする。
必要な CA 管理者および証明書管理者の CA 上のアクセス許可をユーザーに付与する。
許可されているユーザーとして操作を完了します。

これらの手順を実行するには、CA 管理権限を付与されているか、または適切な権限を委任されている必要があります。

CA 上の監査を有効にする

CA 上の監査を有効にするには、以下の手順を実行します。

CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。
CA の名前を右クリックしてから、[プロパティ] をクリックします。
[監査] タブをクリックして、[CA セキュリティ設定の変更] をクリックします。
CA を再起動します。
CA 上の管理操作を数週間、または他の攻撃が発生する可能性がなく、CA 監査を無効にしても大丈夫と思われるまで監査します。

注:イベントを監査するには、コンピューターもオブジェクトアクセスを監査するように構成する必要があります。監査ポリシーのオプションは、コンピューターの構成\Windows 設定\セキュリティ設定\ローカルポリシーの下にあるローカルまたはドメインのグループポリシーで表示および管理できます。

CA 上の管理者および証明書管理者のアクセス許可を付与する

CA 上の CA 管理者および証明書管理者のセキュリティアクセス許可を設定するには、以下の手順を実行します。

CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。
コンソールツリー内で、CA の名前をクリックします。
[操作] メニューの [プロパティ] をクリックします。
[セキュリティ] タブをクリックし、セキュリティのアクセス許可を指定します。
許可されているユーザーとして CA 管理操作を完了します。

CA で使用可能なロールおよびセキュリティのアクセス許可の詳細については、証明機関ヘルプの「役割ベースの管理を実装する」( http://go.microsoft.com/fwlink/?LinkId=104188) を参照してください。

追加情報

CA ログオンコンテキストが正しいことを確認するには、次の手順を実行します。

CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[サービス] をクリックします。
[Active Directory 証明書サービス] の [ステータス] に、「開始」と表示されていることを確認します。

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS アクセス制御 - アクセス許可の更新

イベントの説明:{0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">92</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>