...
- В лог-файле диагностики, который был создан одновременно с лог-файлом журнала, найдите строку SHA256 файла журнала СБ — это хеш лог-файла журнала, который был автоматически вычислен УДР при его создании.
- Вычислите хеш текущей версии лог-файла журнала самостоятельно. Сделать это можно, например, с помощью консольных утилит:
ОС Windows: certutil -hashfile "имя_файла_журнала_СБ.txt" sha256
ОС Linux: sha256sum "имя_файла_журнала_СБ.txt"
macOS: shasum -a 256 "имя_файла_журнала_СБ.txt"
- Сравните полученный хеш с хешем из лог-файла диагностики. Если хеш, сгенерированный с помощью консольной утилиты, не совпадает с хешем в лог-файле диагностики, значит, после выгрузки в файл журнала были внесены изменения.
Поиск событий в журнале СБ
Определение сертификата с удаленным ключом
Чтобы понять, для какого сертификата был удален ключ, вычислите хеш открытого ключа, используя сертификатНайти в журнале СБ события, связанные с конкретной ключевой парой (например, чтобы определить, от какого сертификата удалили ключевую пару), можно с помощью первых 4 байтов хеша открытого ключа.
Чтобы вычислить хеш открытого ключа:
- Откройте онлайн-утилиту ASN.1 JavaScript Decoder.
- Загрузите сертификат одним из двух способов:
- нажмите Выберите файл и выберите файл сертификата;
- перетащите сертификат на вкладку с утилитой.
- Найдите В узле
subjectPublicKey найдите строкуOCTET STRINGв узлеsubjectPublicKey.
- Нажмите на эту строку и выберите Copy value.
- Перейдите на сайт https://hashing.tools/streebog/streebog-256.
- В выпадающем меню раскрывающихся списках для выбора формата входных (1) и выходных (2) данных выберите hex.
- Вставьте скопированное значение в поле Input и удалите длину ключа, а также перенос строки после нее.
Хеш высчитается автоматически, как только сайт обнаружит в поле Input корректные данные.
- Скопируйте первые 4 байта (8 символов) высчитанного хеша и найдите их в журнале событий безопасности.
...