В Windows есть Хранилище сертификатов, в котором пользователи и администраторы (в зависимости от настроек) могут вносить свои изменения: добавлять корневой CA, изменять CRL и т. Д. Это, по-видимому, очень важное место в безопасности системы. Итак, я подхожу к вопросу:
Можно ли настроить Windows для регистрации изменений в хранилище сертификатов в его стандартной функции журнала, EventLog?
До сих пор мне удавалось удалить только сертификат , событие ( ID 1004) из журнала CertificateServicesClient-Lifecycle
, но ничего о добавлен сертификат или что-то еще.
Upd .: Я пробовал как Windows Server 2012 R2, так и Windows 10 и получил те же результаты.
Upd.2: Только что попробовал и на свежей Windows 8 установка: те же результаты. Что нужно настроить для включения этих журналов?
Я подтвердил, что Windows Server 2012 R2 и 2016 предоставляют данные о событиях для:
1001 Certificate Replaced
1002 Certificate Expired
1003 Certificate Expiration Approaching
1004 Certificate Deleted
1005 Certificate Archived
1006 Certificate Installed
С одинаковым уровнем детализации (Тема, Отпечаток, EKU, Срок действия, учетная запись субъекта).
Вы возможно, потребуется предоставить более подробную информацию о вашей платформе и среде.