我们运行的是 Windows 7 pro 64 位,并使用证书进行身份验证。证书存储在“我的“认证商店。
问题是,我们的用户群中大约有 5% 的人在一天之内丢失了证书。Windows 事件日志没有为我们提供足够的信息,因此我们甚至无法开始深入研究问题。我们现在也无法重现这个问题,对于我们这 5% 的用户群来说,这种情况每月大约发生 1-2 次 - 其他 95% 的人从未遇到过这个问题。
有没有办法记录哪个程序访问了认证存储以及它在那里修改了什么?我试过了卡皮2日志已启用,但当证书被删除/消失时它不会写入日志条目,它仅在插入新证书时记录。
对我来说,第一步是重现问题,然后尝试解决它。目前我有点迷茫,因为我不知道从哪里开始。据我所知,用户之间没有关联。
任何帮助或建议都将不胜感激,谢谢!
答案1
从 Windows 8/Server 2012 开始,有新的事件日志来跟踪证书存储的变化:
Microsoft-Windows-CertificateServicesClient-Lifecycle-User/Operational
Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
更多信息科技网
不幸的是,这些在 Windows 7 中不可用。
您可以尝试监控对私钥文件的访问,它们位于:
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\[UserA’s SID]\
您可以对该目录启用审核,我很久没有这样做了,但它可能会为您提供一些有关正在发生的事情的提示。