管理您的憑證授權機構審核過濾器設定,以確保身份安全感測器能夠偵測並記錄所有 Windows 事件。
在端點上啟用 Active Directory 監控以進行身份安全感測器時,TrendAI Vision One™ 端點安全代理 會自動配置 Windows 審核策略中的憑證服務子類別。然而,憑證授權中心 (CA) 的審核過濾器設置必須由伺服器管理員手動配置。這是因為 Windows 預設不會生成安全事件
4886(憑證請求已接收)和 4887(憑證已發行)的日誌。如果在端點上啟用身份安全感測器和 Active Directory 監控後,您未看到這些日誌,請使用以下步驟配置端點。
步驟
- 驗證端點配置。端點必須符合下列需求:
-
作業系統是 Windows Server
-
端點正在運行 Active Directory 憑證服務,並具有企業根憑證授權機構
注意
Identity Security Sensor 不需要在網域控制站上安裝 Active Directory 憑證服務。CA 角色可以在專用的成員伺服器上運行。 -
- 驗證 CA 狀態。
- 在 CA 伺服器上,以管理員身份執行 PowerShell。
- 要驗證 CA 是否正常運作,請執行命令 certutil -ping。
- 如果命令返回非零退出代碼,請確認憑證服務 (
certsvc) 正在運行。執行指令 sc query certsvc。 - 如果服務已停止,請執行命令 net start certsvc 以啟動服務。如果服務無法啟動,或者
certutil -ping持續失敗,可能需要修復 CA。請聯繫您的 Active Directory 或 PKI 管理員以獲得協助。
- 一旦您確認 CA 正在運行,請檢查當前的審核過濾器值。要檢查值,請執行命令 certutil -getreg CA\AuditFilter。記下目前的值。
- 將稽核過濾器登錄值設置為啟用憑證請求稽核。
-
如果目前的值是 0(預設值,無審核),請將值設為 4。
certutil -setreg CA\AuditFilter 4 -
如果當前值非零,則使用位元 OR 將當前值與 4 結合。
certutil -setreg CA\AuditFilter <new_value>例如,如果當前值為 3,請將稽核過濾器登錄值設為 7。certutil -setreg CA\AuditFilter 7
如需有關 CA 審核篩選值的詳細資訊,請參閱 Microsoft 指南 保護 PKI:附錄 B:憑證授權機構審核篩選。 -
- 重新啟動憑證服務。
重要
審核過濾器在憑證服務重新啟動之前不會套用變更。重新啟動certsvc會暫時中斷憑證註冊和發放。TrendAI™建議在維護時段安排此步驟。- 若要停止服務,請執行命令net stop certsvc。
- 要啟動服務,請執行命令 net start certsvc。
- 要驗證新的配置,請執行命令 certutil -getreg CA\AuditFilter。如果成功,指令將返回以下內容:
AuditFilter REG_DWORD = <new_value> CertUtil: -getreg command completed successfully.
其中<new_value>是您在設定稽核過濾器登錄值時指定的非零值。如果顯示的值為 0,則表示稽核過濾器尚未配置。 - 如果您需要將稽核過濾器還原至原始值,請使用以下命令還原至原始登錄值並重新啟動憑證服務。
certutil -setreg CA\AuditFilter <old_value> net stop certsvc net start certsvc
其中<old_value>是返回的原始值。