在Windows中,有一个证书存储区,用户和pipe理员(取决于设置)可以进行更改:添加根CA,修改CRL等等。这似乎是系统安全中相当重要的地方。 所以我来回答这个问题:
Windows可以设置为将对证书存储的更改logging到其标准日志functionEventLog中?
到目前为止,我只设法从CertificateServicesClient-Lifecycle日志中获得证书删除事件(ID 1004),但没有添加证书或其他任何东西。
更新:我尝试了Windows Server 2012 R2和Windows 10,并得到相同的结果。
Upd.2:刚试过一个新的Windows 8安装:得到相同的结果。 应该configuration什么来启用这些日志?
我已经确认Windows Server 2012 R2和2016提供了以下事件数据:
1001 Certificate Replaced 1002 Certificate Expired 1003 Certificate Expiration Approaching 1004 Certificate Deleted 1005 Certificate Archived 1006 Certificate Installed
具有相同级别的细节(主题,指纹,EKU,到期,主题帐户)。
您可能需要提供有关您的平台和环境的更多详细信息。