ID d'événement Windows 4871 – Microsoft-Windows-Security-Auditing : Demande refusée par les services de certificats

Commencez par examiner les détails spécifiques de l'ID d'événement 4871 pour comprendre la raison et le contexte du refus.

1. Ouvrez Observateur d'événements sur le serveur de l'Autorité de Certification
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4871 en utilisant l'option de filtre
4. Double-cliquez sur l'événement 4871 le plus récent pour voir les détails
5. Consultez l'onglet Général pour les informations clés:
   • Sujet: Le sujet du certificat qui a été refusé
   • Modèle: Nom du modèle de certificat
   • Demandeur: Utilisateur ou ordinateur faisant la demande
   • Raison: Code et description spécifiques du refus
6. Vérifiez l'onglet Détails pour un contexte supplémentaire incluant l'ID de la demande et les informations de l'AC
7. Utilisez PowerShell pour interroger plusieurs événements :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4871} -MaxEvents 50 | Select-Object TimeCreated, @{Name='Subject';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Subject:'}) -replace 'Subject:', ''}}, @{Name='Template';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Template:'}) -replace 'Template:', ''}}

Vérifiez si l'utilisateur demandeur dispose des autorisations appropriées sur le modèle de certificat demandé.

1. Ouvrez la console de gestion de l'Autorité de Certification (certsrv.msc)
2. Développez le serveur CA et accédez à Modèles de Certificat
3. Cliquez avec le bouton droit sur le modèle mentionné dans l'événement 4871 et sélectionnez Propriétés
4. Cliquez sur l'onglet Sécurité pour examiner les autorisations
5. Vérifiez que l'utilisateur ou le groupe demandeur dispose des autorisations suivantes :
   • Autorisation de Lecture (minimum requis)
   • Autorisation d'Inscription pour les certificats utilisateur
   • Autorisation d'Inscription automatique si l'inscription automatique est utilisée
6. Utilisez PowerShell pour vérifier les autorisations du modèle de manière programmatique :

# Obtenir les autorisations du modèle de certificat
$TemplateName = "WebServer"  # Remplacez par le nom réel du modèle
$Template = Get-CATemplate -Name $TemplateName
$Template.Security | Format-Table IdentityReference, AccessControlType, CertificateRights -AutoSize

6. Si des autorisations manquent, ajoutez l'utilisateur ou le groupe approprié :
7. Cliquez sur Ajouter pour ajouter des utilisateurs ou des groupes
8. Sélectionnez l'utilisateur/groupe et attribuez les autorisations d'Inscription
9. Cliquez sur Appliquer et OK pour enregistrer les modifications

Examinez les paramètres du modèle de certificat pour identifier les problèmes de configuration pouvant entraîner des refus de demande.

1. Ouvrez la console Modèles de certificats (certtmpl.msc) sur un contrôleur de domaine ou un serveur CA
2. Localisez le modèle référencé dans l'ID d'événement 4871
3. Cliquez avec le bouton droit sur le modèle et sélectionnez Propriétés
4. Examinez les zones de configuration critiques:
   • Onglet Général : Vérifiez que le modèle n'est pas désactivé
   • Onglet Gestion des demandes : Vérifiez l'objectif et les exigences de clé
   • Onglet Nom du sujet : Vérifiez les exigences de format du nom du sujet
   • Onglet Extensions : Examinez les extensions d'utilisation de clé et de politique d'application
5. Utilisez PowerShell pour analyser la configuration du modèle :

# Obtenez des informations détaillées sur le modèle
$TemplateName = "WebServer"
Get-CATemplate -Name $TemplateName | Select-Object Name, DisplayName, SchemaVersion, MinimumKeySize, KeyUsage, ApplicationPolicy

6. Vérifiez si le modèle est publié sur la CA :

# Vérifiez que le modèle est disponible sur la CA
Get-CATemplate | Where-Object {$_.Name -eq $TemplateName} | Select-Object Name, IssuingCA

7. Comparez les exigences du modèle avec les détails de la demande refusée de l'ID d'événement 4871
8. Si les paramètres du modèle sont incorrects, modifiez-les de manière appropriée ou créez une nouvelle version du modèle

Examinez la configuration du module de politique de l'autorité de certification qui pourrait causer des refus de demande.

1. Ouvrez la console de gestion de l'Autorité de Certification
2. Cliquez avec le bouton droit sur le nom du serveur CA et sélectionnez Propriétés
3. Accédez à l'onglet Module de Politique
4. Cliquez sur Propriétés pour voir les paramètres du module de politique
5. Examinez les options de configuration qui pourraient affecter l'émission des certificats:
   • Exigences de nom du sujet
   • Restrictions de longueur de clé
   • Limites de période de validité du certificat
   • Exigences d'extension
6. Vérifiez les paramètres du registre CA pour des configurations de politique supplémentaires:

# Vérifiez les paramètres du registre de politique CA
$CAName = "YourCA-Name"  # Remplacez par le nom réel de la CA
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\$CAName\PolicyModules\CertificateAuthority_MicrosoftDefault.Policy" | Format-List

7. Examinez les paramètres d'audit de la CA pour assurer une journalisation appropriée:

# Vérifiez les paramètres d'audit de la CA
certutil -getreg CA\AuditFilter

8. Si les paramètres du module de politique sont trop restrictifs, ajustez-les selon les exigences organisationnelles
9. Redémarrez les services de certification après avoir apporté des modifications à la politique:

Restart-Service -Name CertSvc -Force

Effectuer une analyse complète en utilisant la journalisation détaillée de l'Autorité de Certification et l'analyse des paquets réseau.

1. Activer la journalisation détaillée de l'AC pour une analyse complète des demandes :

# Activer la journalisation maximale de l'AC
certutil -setreg CA\LogLevel 5
Restart-Service -Name CertSvc

2. Vérifier la base de données de l'AC pour les détails des demandes :

# Interroger la base de données de l'AC pour les demandes refusées
certutil -view -restrict "Disposition=30" -out "RequestID,RequesterName,CommonName,NotBefore,NotAfter" csv > denied_requests.csv

3. Analyser les journaux opérationnels des Services de Certificats :
4. Accéder à Observateur d'événements → Journaux des applications et services → Microsoft → Windows → CertificateServicesClient-CertEnroll
5. Examiner les événements opérationnels autour du moment de l'ID d'événement 4871
6. Utiliser PowerShell pour corréler les événements :

# Obtenir les événements d'inscription de certificats liés
$StartTime = (Get-Date).AddHours(-2)
Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-CertificateServicesClient-CertEnroll/Operational'; StartTime=$StartTime} | Where-Object {$_.LevelDisplayName -eq 'Error' -or $_.LevelDisplayName -eq 'Warning'}

6. Si des problèmes réseau sont suspectés, capturer le trafic réseau pendant les demandes de certificats :
7. Utiliser Wireshark ou Network Monitor pour capturer le trafic HTTPS sur le port 443
8. Filtrer le trafic d'inscription de certificats et analyser les modèles de demande/réponse
9. Examiner les journaux IIS sur les serveurs AC exécutant le service Web d'inscription de certificats :

# Analyser les journaux IIS pour les erreurs d'inscription de certificats
Get-Content "C:\inetpub\logs\LogFiles\W3SVC1\*.log" | Where-Object {$_ -match "certsrv" -and $_ -match "40[0-9]|50[0-9]"}

9. Après l'analyse, désactiver la journalisation détaillée pour éviter la croissance des fichiers journaux :

certutil -setreg CA\LogLevel 3
Restart-Service -Name CertSvc