В Windows есть Хранилище сертификатов, где пользователи и администраторы (в зависимости от настроек) могут вносить свои изменения: добавлять корневой ЦС, изменять CRL и т. Д. Это, по-видимому, очень важное место в системе безопасности. Итак, я подхожу к вопросу:
Можно ли настроить Windows для регистрации изменений в Хранилище сертификатов в своей стандартной функции журнала, EventLog?
До сих пор мне удавалось получить только сертификат удален событие (ID 1004) из CertificateServicesClient-Lifecycle
журнал, но ничего о сертификат добавлен или что-нибудь еще.
Upd .: Я пробовал и Windows Server 2012 R2, и Windows 10 и получил одинаковые результаты.
Upd.2: Только что попробовал на новой установке Windows 8: получил те же результаты. Что нужно настроить для включения этих журналов?
Я подтвердил, что Windows Server 2012 R2 и 2016 предоставляют данные о событиях для:
1001 Certificate Replaced
1002 Certificate Expired
1003 Certificate Expiration Approaching
1004 Certificate Deleted
1005 Certificate Archived
1006 Certificate Installed
С тем же уровнем детализации (Тема, Отпечаток, EKU, Срок действия, учетная запись темы).
Возможно, вам потребуется предоставить более подробную информацию о вашей платформе и среде.