安装证书时的 Windows 事件查看器 ID

安装证书时的 Windows 事件查看器 ID

Windows 事件查看器中是否有任何地方可以显示何时在用户或机器证书存储中安装新证书?

我发现的是这个: https://social.technet.microsoft.com/wiki/contents/articles/14250.certificate-services-lifecycle-notifications.aspx

这两个具体来说:

  • 证书服务客户端生命周期系统
  • 证书服务客户端-生命周期-用户

并且我自己测试过,仅当证书具有私钥、.pfx格式正确或两者兼有时,事件查看器才会记录新的证书安装。

因此我用New-SelfSignedCertificatecmdlet 创建了一个虚拟证书,以 .cer 格式导出不带私钥的证书,删除了带有私钥的原始证书,然后将之前导出的证书添加到受信任的根存储中的本地机器证书中,事件查看器没有记录它。

那么,如何在事件查看器中或使用其他方式查看所有证书更改?当第三方程序在系统上安装证书或不良行为者安装证书时,几乎总是没有私钥。

我怎样才能追踪这些?

相关内容