我们正在运行
Windows 7 pro 64位并使用证书进行身份验证.证书存储在“我的”认证商店中.
如果我们的用户群从一天到另一天丢失了他们的证书,问题是大约5%. Windows事件日志不会为我们提供足够的信息,以便我们甚至可以开始深入研究问题.我们现在也无法重现这个问题,对于我们这5%的用户群来说,它每月大约发生1-2次 – 其他95%从未遇到过这个问题.
有没有办法记录哪个程序访问认证商店以及它在那里修改了什么?我尝试启用CAPI2日志,但是当证书被删除/消失时它会写一个日志条目,它只是在插入新的时记录.
我的第一步是重现问题,然后尝试解决它.目前我有点失落,因为我不知道从哪里开始.就我现在所知,用户之间没有相关性.
任何帮助或提示表示赞赏,谢谢!
从Windows 8 / Server 2012开始,有新的事件日志可跟踪证书存储的更改:
Microsoft-Windows-CertificateServicesClient-Lifecycle-User/Operational Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
有关TechNet的更多信息
不幸的是,这些在Windows 7中不可用.
您可以尝试监视私钥文件的访问权限,它们位于:
%USERPROFILE%\AppData\Roaming\Microsoft\Crypto\RSA\[UserA’s SID]\
您可以在该目录上启用审核,我很长时间没有这样做,但它可能会为您提供有关正在发生的事情的一些提示.