Wenn man auf einem deutschen Windows Server das Auditing der OSCP-Anfragen einschalten möchte (oder muss), lautet der offiziell dokumentierte Befehl
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
natürlich
auditpol /set /subcategory:"Zertifizierungsdienste" /success:enable /failure:enable
Man sollte aber mehrmals nachdenken, bevor man Überwachung bei Erfolg aktiviert – das Protokoll könnte überflutet werden, je nachdem, wieviele Zertifikate per OCSP validiert werden.
Happy monitoring!
Antworten