ID události 4656: Byl požadován popisovač objektu [Oprava]

Objeví se, když je požadován handle to object

ID události 4656 je událost systému Windows, ke které dochází, když uživatel přistupuje k souboru, složce nebo systémovému registru prostřednictvím služby Microsoft-Windows-Security-Auditing.

V tomto komplexním průvodci se ponoříme do základních podrobností o události id 4656, proč k ní dochází a jakých akcích byste měli provést, když je id události zaznamenáno.

Co je ID události 4656?

ID události 4656 je informační událost, která označuje, že byl pro objekt požadován konkrétní přístup. Objekt se může lišit od systému souborů, jádra nebo objektu registru po objekt systému souborů umístěný na externím úložišti nebo na vyměnitelném zařízení.

V případě, že je požadavek na přístup k objektu požadavku zamítnut, je vygenerována událost selhání.

ID události 4656 se vygeneruje pouze v případě, že seznam řízení přístupu k systému (SACL) požadovaného objektu má nezbytné položky řízení přístupu (ACE) ke správě použití konkrétních přístupových práv.

Tato událost informuje o tom, že byl požadován přístup k objektu a že byly zaznamenány výsledky požadavku. Událost však neposkytuje podrobnosti o operaci, která byla provedena.

Některé ze základních popisů polí události id 4656 jsou následující:

• Jméno účtu – Název účtu, který požadoval popisovač pro objekt.
• Typ objektu – Typ objektu, ke kterému se během operace přistupuje.
• Název objektu – Název nebo identifikátor objektu, pro který byl požadován přístup. Příklad – soubor, cesta
• Název procesu – Cesta adresy a název spustitelného souboru požadujícího objekt.
• Přístupy – Seznam přístupových práv požadovaných objektem.

Co způsobuje ID události 4656?

ID události 4656 pomáhá monitorovat několik událostí, které se spouštějí na vašem počítači se systémem Windows. Někteří z nich jsou:

• Ověřte, zda neoprávněné nebo omezené procesy požadují objekty.
• Pokusy o přístup k citlivým nebo důležitým objektům.
• Akce konkrétního účtu s vysokou prioritou.
• Zjistěte anomálie a škodlivé akce podezřelých účtů.
• Ověřte, že se nepoužívají neaktivní, externí a omezené účty.
• Ujistěte se, že pouze autorizované účty mohou provádět některé akce nebo požadovat přístup.
• Můžete také nakonfigurovat ID události pro vynucení konvencí a souladu.

Nyní, když máte jasnou představu o ID události 4656, podívejme se, jaký by měl být váš postup, když je ID události opakovaně přihlášeno do prohlížeče událostí.

Co dělat, když narazím na ID události 4656?

1. Ověřte podrobnosti události 

1. zmáčkni Okna klíč, typ prohlížeč událostí ve vyhledávacím poli nahoře a klikněte na OTEVŘENO možnost v pravé části výsledků.
2. Klikněte Protokoly systému Windows v levém podokně zobrazte související nastavení a klikněte Bezpečnostní.
3. V pravé části se zobrazí seznam všech protokolů událostí, přejděte dolů a najděte v seznamu událost id 4656 a vyberte ji.
4. Přejděte na Všeobecné ve spodní části a zkontrolujte změnu zabezpečení a popisovače požadavků pro soubor nebo složku.

Pokud je požadavek legitimní, nemusíte podnikat žádné kroky. Pokud se však zdá, že požadavek pochází z podezřelého zdroje, přejděte k dalšímu řešení.

Přečtěte si více o tomto tématu

• Facebook nefunguje na Chrome? 7 způsobů, jak to rychle opravit
• IPTV nefunguje na AT&T: 4 způsoby, jak to rychle opravit
• Oprava: Tuto akci nelze v Office provést
• Nemůžete klikat na videa na YouTube? Zde je to, co můžete udělat

2. Upravte místní zásady zabezpečení 

1. Použijte Okna + R zkratka pro spuštění Běh dialogovém okně zadejte do textového pole následující příkaz a stiskněte klávesu Vstupte klíč. secpol.msc
2. Klikněte Bezpečnostní nastavení na levém postranním panelu rozbalte strom konzoly a vyberte Rozšířená konfigurace zásad auditu.
3. Dále rozbalte Zásady auditu systému uzel a vyberte Přístup k objektu volba.
4. Dvojklik Manipulace s auditovanou rukojetí v pravé části a zkontrolujte nastavení auditu.
5. Pokud je nastavení auditu nastaveno jako Nakonfigurováno, změňte to na Není nakonfigurováno.
6. zmáčkni Aplikovat tlačítko pro uložení změn.

Překonfigurování pokročilých zásad auditu pomocí editoru místních zásad zabezpečení by mělo pomoci opravit událost s ID 4656, pokud jsou přihlášeni zbytečně.

3. Použijte editor zásad skupiny 

1. Použijte Okna + R zkratku pro spuštění dialogového okna a zadejte následující příkaz a kliknutím na tlačítko OK jej spusťte. rsop.msc
2. Rozbalte Konfigurace počítače konzole v levém panelu a klikněte na Nastavení systému Windows uzel.
3. Dále kliknutím rozbalte Bezpečnostní nastavení následován Místní zásady a pak Zásady zvuku z levého bočního panelu.
4. Poznamenejte si Zdrojový objekt zásad skupiny z Auditovat přístup k objektu, kořenové nastavení pro manipulaci s manipulací s auditem.
5. Proveďte následující příkaz v Běh okna stisknutím tlačítka Vstupte klíč. Gpmc.msc
6. Přejděte na Zdrojový objekt zásad skupiny jste si poznamenali dříve a pak hledejte Manipulace s auditovanou rukojetí.
7. Klikněte pravým tlačítkem myši Manipulace s auditovanou rukojetí a vybrat si Upravit z kontextové nabídky.
8. Nastavte nastavení na Zakázáno a stiskněte tlačítko OK tlačítko pro uložení změn.

Pokud je nastavení zděděno z jakéhokoli jiného GPO na místní zásady zabezpečení, budete muset upravit konkrétní objekt zásad skupiny.

To je vše o této příručce k vyřešení události s ID 4656, pokud se s ní setkáte často. Měli byste však vědět, že řešení se může změnit v závislosti na konkrétním scénáři, když se v prohlížeči událostí objeví id události 4656.

Podrobné informace o tom naleznete v této příručce prohlížeč událostí a jak jej můžete využít ke sledování všech událostí.

Pokud se chcete podělit o cenné informace a zpětnou vazbu, kontaktujte nás v sekci komentářů.