Недавно в журнале событий безопасности Windows сервера Server 2012 R2, на котором работает сервер IIS с выходом в Интернет, регистрируется следующее событие сбоя аудита:
Source: Microsoft Windows security auditing.
Event ID: 5061
Task Category: System Integrity
Текст события:
Cryptographic operation.
Subject:
Security ID: SYSTEM
Account Name: <COMPUTER NAME>
Account Domain: WORKGROUP
Logon ID: 0x3E7
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: RSA
Key Name: le-8db31aae-1218-4b40-be28-c55c618c90c6
Key Type: Machine key.
Cryptographic Operation:
Operation: Decrypt.
Return Code: 0xC000000D
На основе справки из сообщения LV Sysadmins Советы и приемы Certutil: запросы к поставщикам криптографических услуг (CSP и KSP) Я считаю, что имя ключа в тексте события коррелирует с сертификатом SSL, используемым для защиты веб-трафика для IIS. Вот сокращенный вывод certutil -store my -v показывая этот сертификат:
PS C:\Windows\system32> certutil -v -store my
my "Personal"
================ Certificate 0 ================
X509 Certificate:
Version: 3
Serial Number: <REDACTED>
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA
Algorithm Parameters:
05 00
Issuer:
CN=COMODO RSA Domain Validation Secure Server CA
O=COMODO CA Limited
L=Salford
S=Greater Manchester
C=GB
--- TEXT REMOVED FOR BREVITY ---
Subject:
CN=www.example.com
--- TEXT REMOVED FOR BREVITY ---
CERT_KEY_PROV_INFO_PROP_ID(2):
Key Container = 2a746a4f293ce74d47131503de0cf745_28422b67-dacb-4e11-a06a-062dae34b9a0
Simple container name: le-8db31aae-1218-4b40-be28-c55c618c90c6
Provider = Microsoft RSA SChannel Cryptographic Provider
ProviderType = c
Flags = 20 (32)
CRYPT_MACHINE_KEYSET -- 20 (32)
KeySpec = 1 -- AT_KEYEXCHANGE
--- TEXT REMOVED FOR BREVITY ---
Обратите внимание, что Simple container name сертификата соответствует Key Name текста события 5061.
Итак, мой вопрос в этом контексте: что означает это событие, в частности «Код возврата: 0xC000000D» и «Операция: Расшифровать»? Стоит ли мне беспокоиться, что плохой субъект пытается что-то сделать против сервера? Или это просто отчет о том, что какой-то трафик, возвращаемый на сервер, поврежден и не может быть расшифрован? Я прилежно искал в Интернете ответ и не нашел объяснения.
Обратите внимание, что проблем с доступом к сайтам, обслуживаемым на сервере IIS, не сообщалось.