Windows - 记录对证书存储的更改

Windows - 记录对证书存储的更改

在 Windows 中有一个证书存储区,用户和管理员(取决于设置)可以在其中进行更改:添加根 CA、修改 CRL 等。它似乎是系统安全中相当关键的地方。所以我想到了一个问题:

是否可以将 Windows 设置为将对证书存储的更改记录到其标准日志工具 EventLog 中?

到目前为止,我只得到了证书已删除事件(ID 1004)来自CertificateServicesClient-Lifecycle日志,但没有关于证书已添加或其他任何东西。

更新:我尝试了 Windows Server 2012 R2 和 Windows 10,得到了相同的结果。

更新 2:刚刚在全新安装的 Windows 8 上也尝试过:结果相同。应该如何配置才能启用这些日志?

答案1

我已确认 Windows Server 2012 R2 和 2016 提供以下事件数据:

1001 Certificate Replaced  
1002 Certificate Expired  
1003 Certificate Expiration Approaching  
1004 Certificate Deleted  
1005 Certificate Archived  
1006 Certificate Installed  

具有相同级别的详细信息(主题、指纹、EKU、到期日期、主题帐户)。

您可能需要提供有关您的平台和环境的更多详细信息。

https://social.technet.microsoft.com/wiki/contents/articles/14250.certificate-services-lifecycle-notifications.aspx

相关内容