我们正在运行Windows 7专业版64位并使用证书进行身份validation。 证书存储在“ 我的 ”authentication存储中。
问题是,如果我们的用户基础从一天丢到另一天,大约5%。 Windows事件日志不提供给我们足够的信息,所以我们甚至可以开始挖掘问题。 我们现在也无法重现这个问题,对于我们这个5%的用户群来说,每月大概发生1-2次,其他的95%从来没有这个问题。
有没有办法logging哪个程序访问authentication商店,并在那里修改? 我试着用CAPI2日志启用,但是当证书被删除/消失时,它会写入一个日志条目,它只是在插入一个新日志时logging下来。
对我来说,第一步就是重现问题,然后尝试解决问题。 此刻我有点失落,因为我不知道从哪里开始。 据我所知,用户之间没有任何关联。
任何帮助或提示表示赞赏,谢谢!
从Windows 8 / Server 2012开始,有新的事件日志来跟踪对证书存储的更改:
Microsoft-Windows-CertificateServicesClient-Lifecycle-User/Operational Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational TechNet上的更多信息
不幸的是,这些在Windows 7中不可用。
您可以尝试的是监视对私钥文件的访问,它们位于:
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\[UserA's SID]\
您可以在该目录上启用审核function,我很久没有这样做了,但它可能会为您提供有关正在发生的事情的一些提示。