인증서 서비스가 보안 권한을 업데이트하지 못했습니다.
CA(인증 기관) 액세스 제어 권한은 권한이 있는 구성 요소 및 사용자가 필요한 작업을 완료할 수 있도록 보장합니다. 액세스 제어 오류를 통해 불충분하거나 부적절한 권한의 사용과 관련된 잠재적인 문제를 파악할 수 있습니다.
승인된 사용자 계정으로 보안 권한 업데이트
보안 권한을 업데이트하려는 사용자가 AD CS(Active Directory 인증서 서비스) 개체에 대한 권한을 설정하도록 승인되었는지 확인합니다.
사용자가 AD CS 개체에 대한 권한을 수정할 수 없도록 의도하지 않았다면 다음과 같이 해야 합니다.
CA(인증 기관)에 대한 감사를 허용합니다.
사용자에게 CA에 대해 필요한 CA 관리자 및 인증서 관리자 권한을 부여합니다.
승인된 사용자로 작업을 완료합니다.
이러한 절차를 수행하려면 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
CA에 대한 감사 허용
CA에 대한 감사를 허용하려면:
CA를 호스트하는 컴퓨터에서 [시작]을 클릭하고 [관리 도구]를 가리킨 다음 [인증 기관]을 클릭합니다.
CA 이름을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
감사 탭을 클릭하고 CA 보안 설정 변경을 클릭합니다.
CA를 다시 시작합니다.
CA 감사를 사용하지 않도록 설정하기 전에 몇 주 동안 또는 더 이상 다른 공격이 발생하지 않아 만족할 때까지 CA에서 관리 작업을 감사합니다.
참고: 이벤트를 감사하려면 개체 액세스를 감사하도록 컴퓨터가 구성되어 있어야 합니다. 감사 정책 옵션은 컴퓨터 구성\Windows 설정\보안 설정\로컬 정책 아래의 로컬 또는 도메인 그룹 정책에서 보고 관리할 수 있습니다.
CA에 대해 관리자 및 인증서 관리자 권한 부여
CA에 대해 CA 관리자 및 인증서 관리자 보안 권한을 설정하려면:
CA를 호스트하는 컴퓨터에서 [시작]을 클릭하고 [관리 도구]를 가리킨 다음 [인증 기관]을 클릭합니다.
콘솔 트리에서 CA 이름을 클릭합니다.
작업 메뉴에서 속성을 클릭합니다.
보안 탭을 클릭하고 보안 권한을 지정합니다.
승인된 사용자로 CA 관리 작업을 완료합니다.
CA에 사용할 수 있는 역할 및 보안 권한에 대한 자세한 내용은 인증 기관 도움말의 "역할 기반 관리 구현"( http://go.microsoft.com/fwlink/?LinkId=104188)을 참조하세요.
CA 로그온 컨텍스트가 올바른지 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 후 서비스를 클릭합니다.
시작됨이라는 텍스트가 AD CS(Active Directory 인증서 서비스) 서비스의 상태에 표시되어 있는지 확인합니다.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 92 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.92" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">92</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDc29839b12ca94b97946a97b10b78837f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>