在 Windows 中有一个证书存储区,用户和管理员(取决于设置)可以在其中进行更改:添加根 CA、修改 CRL 等。它似乎是系统安全中相当关键的地方。所以我想到了一个问题:
是否可以将 Windows 设置为将对证书存储的更改记录到其标准日志工具 EventLog 中?
到目前为止,我只得到了证书已删除事件(ID 1004)来自CertificateServicesClient-Lifecycle日志,但没有关于证书已添加或其他任何东西。
更新:我尝试了 Windows Server 2012 R2 和 Windows 10,得到了相同的结果。
更新 2:刚刚在全新安装的 Windows 8 上也尝试过:结果相同。应该如何配置才能启用这些日志?
答案1
我已确认 Windows Server 2012 R2 和 2016 提供以下事件数据:
1001 Certificate Replaced
1002 Certificate Expired
1003 Certificate Expiration Approaching
1004 Certificate Deleted
1005 Certificate Archived
1006 Certificate Installed
具有相同级别的详细信息(主题、指纹、EKU、到期日期、主题帐户)。
您可能需要提供有关您的平台和环境的更多详细信息。