Javítás: Eseményazonosító 4663, Megkísérelték elérni egy objektumot

A gyors javítás érdekében távolítsa el az ismeretlen eseménynaplókat a rendszerből

A 4663-as esemény azt jelezheti, hogy egy felhasználó olyan fiókkal jelentkezett be egy tartományi számítógépre, amely nem jogosult a tartományba való bejelentkezéshez. Ez akkor fordulhat elő, ha a fiók letiltva vagy eltávolítva a Domain Admins csoportból.

Ha ezt a hibát rendszeresen látja, annak oka lehet a megosztott mappák vagy meghajtók engedélyei és/vagy a nem megfelelően konfigurált, nem megfelelő hozzáférési jogokkal rendelkező felhasználói fiókok. Ennek ellenére érdemes megnézni, mert ha felügyelet nélkül marad, a felhasználó hozzáférhet.

Mi az a 4663-as eseményazonosító?

A 4663-as eseményazonosító naplózásra kerül, amikor egy adott műveletet végrehajtanak egy objektumon. Ez az esemény megtekinthető a Biztonsági naplóban, és a biztonsági napló célja is van. A 4663-as eseményazonosító rögzítésre kerül a biztonsági naplóban, amikor a felhasználó rendszergazdai engedélyeket igénylő műveletet kísérel meg végrehajtani.

Az objektumtípusok fő kategóriái a következők:

• Fájlrendszer-objektumok (például fájlok, mappák vagy nyomtatók)
• Kernel objektumok (például folyamatok és szálak)
• Registry objektumok (például kulcsok és értékek)
• Rendszerobjektumok (például illesztőprogramok)
• Cserélhető tárolóeszközökön vagy eszközökön lévő objektumok

Egy objektum elérésére tett kísérlet a következőket jelentheti:

• Az objektum már nincs jelen a szerveren – Ha problémái vannak egy fájl vagy mappa elérésével, az azt jelenti, hogy ezt a fájlt vagy mappát törölték a szerverről.
• Az objektum jelen van a szerveren, de a neve nem érvényes – Lehetséges, hogy az objektumot az utolsó hozzáférés óta törölték vagy átnevezték.
• Az objektum megtalálható a szerveren, de más helyen – Ez a hiba akkor fordulhat elő, ha egy áthelyezett vagy átnevezett fájlhoz vagy mappához próbál hozzáférni.
• Az objektum jelen van a szerveren, de az Ön fiókja nem rendelkezik hozzáférési jogokkal – Ez a hiba akkor fordul elő, ha felhasználói fiókja nem rendelkezik elegendő olvasási/írási jogosultsággal ahhoz, hogy ezt megtehesse.

Hogyan javíthatom ki a 4663-as eseményazonosítót?

Először is ellenőrizze a következőket:

• Kapcsolja be a tűzfalat, hogy biztosítsa a jogosulatlan hozzáférés korlátozását. Nézze meg azt is, mit tegyen, ha igen nem tudja bekapcsolni a Windows tűzfalat.
• Ellenőrizze, hogy nincs-e hibás a SACL (System Access Control List) konfigurálása, amely megakadályozza, hogy a felhasználók hozzáférjenek azokhoz az objektumokhoz, amelyeket engedélyezniük kell.

1. Ellenőrizze és távolítsa el az eseménynaplókat

1. Kattintson a Windows elemre Keresés ikont a tálcán, írja be Eseménynéző és kattintson Nyisd ki.
2. Navigáljon a bal oldali ablaktáblához, és bontsa ki a Windows Naplók menü és válassza ki Biztonság.
3. Görgesse végig a különböző naplókat, és keresse meg az egyiket Eseményazonosító 4663.
4. Miután megtalálta a 4663-as eseményazonosítójú naplót, jegyezze fel a Felhasználónév amely megpróbált bejelentkezni
5. Hozd fel a Keresés ikon ismét, gépelje be Kezelőpanel és kattintson Nyisd ki.
6. Válassza ki Felhasználói fiókok.
7. Kattintson Kezelje hitelesítő adatait a bal kéz felől.
8. Válassza ki Windows hitelesítő adatok az új ablakban.
9. Bontsa ki az ismeretlen felhasználói fiókot, és a legördülő menüben kattintson a gombra Távolítsa el hogy megszabaduljon attól a felhasználótól.

A 4663-as eseményazonosító kísérlet oka lehet egy belső vagy külső biztonsági megsértés, és egy felhasználói fiókot rosszindulatú szoftverek használnak a rendszer eléréséhez. Ezt a fiókot egy rosszindulatú program vagy egy támadó hozhatta létre, aki kihasználta a hálózati szolgáltatások biztonsági rését.

2. Távoli hozzáférés letiltása

1. Üsd a ablakok gombot, és kattintson rá Beállítások.
2. Kattintson a Rendszer fülre, és görgessen le a lehetőséghez Távoli asztal.
3. Kapcsolja át a mellette lévő kapcsolót Távoli asztal a funkció letiltásához.
4. Ezután nyomja meg a ablakok + R gombok megnyitásához Fuss parancs.
5. típus regedit a párbeszédablakban, és nyomja meg a gombot Belép kinyitni a Rendszerleíróadatbázis-szerkesztő. Válassza ki Igen ha a Felhasználói felület megkérdezi, hogy kíván-e bármilyen változtatást végrehajtani.
6. Navigáljon a következő helyre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
7. Kattintson duplán fDenyTSConnections a jobb oldali ablaktáblán a megnyitásához.
8. Állítsa be a Értékadatok nak nek 1, majd kattintson rendben befejezni.

A Windows szerver távolról is elérhető, ha szolgáltatást futtat. Ha például a távoli asztalon keresztül szeretné elérni a szervert, engedélyeznie kell ezt a funkciót.

A távoli hozzáférés letiltása ideiglenes biztonsági intézkedésnek kell lennie mindaddig, amíg meg nem állapítja, hogy a 4663-as eseményazonosító brute force támadás-e.

Olvasson többet erről a témáról

• Hyper-V 0x8009030e hiba: Hogyan javítható
• Windows vs Windows Server: miben különböznek egymástól?
• A Windows Server DC keményítésének 3. fázisába lépünk

Ennyi volt ehhez az eseményazonosítóhoz, de nézze meg, mit tartogatunk. Például a Eseményazonosító 4648, ahol hitelesítő adatokkal próbáltak bejelentkezni.

Ossza meg a témával kapcsolatos további gondolatait az alábbi megjegyzés részben.