Появляется, когда запрашивается дескриптор объекта
- Идентификатор события 4656 — это информационное событие, описывающее ситуацию, когда какой-то источник запросил дескриптор объекта.
- Идентификатор события помогает отслеживать несанкционированные запросы и обеспечивать соблюдение соглашений и требований.
ИксУСТАНОВИТЕ, НАЖИМАЯ НА СКАЧАТЬ ФАЙЛ
- Загрузите Fortect и установите его. на вашем ПК.
- Запустите процесс сканирования инструмента для поиска поврежденных файлов, которые являются источником вашей проблемы.
- Щелкните правой кнопкой мыши Начать ремонт чтобы инструмент мог запустить алгоритм исправления.
- Fortect был скачан пользователем 0 читателей в этом месяце.
Идентификатор события 4656 — это событие Windows, которое происходит, когда пользователь получает доступ к файлу, папке или системному реестру через службу Microsoft-Windows-Security-Auditing.
В этом всеобъемлющем руководстве мы углубимся в основные сведения о событии с идентификатором 4656, о том, почему оно происходит, и о действиях, которые вы должны предпринять, когда идентификатор события регистрируется.
Что такое идентификатор события 4656?
Идентификатор события 4656 — это информационное событие, указывающее, что для объекта был запрошен определенный доступ. Объект может варьироваться от файловой системы, ядра или объекта реестра до объекта файловой системы, расположенного на внешнем запоминающем устройстве или съемном устройстве.
В случае отклонения запроса на доступ к объекту запроса генерируется событие отказа.
Идентификатор события 4656 создается только в том случае, если в системном списке управления доступом (SACL) запрошенного объекта есть необходимые записи управления доступом (ACE) для управления использованием определенных прав доступа.
Это событие сообщает о том, что был запрошен доступ к объекту, и результаты запроса были зарегистрированы. Тем не менее, событие не дает подробностей о проведенной операции.
Вот некоторые из основных описаний полей события с идентификатором 4656:
- Имя учетной записи – Имя учетной записи, запросившей дескриптор объекта.
- Тип объекта – Тип объекта, доступ к которому осуществляется во время операции.
- Имя объекта – Имя или идентификатор объекта, для которого был запрошен доступ. Пример — файл, путь
- Имя процесса – Адресный путь и имя исполняемого файла, запрашивающего объект.
- Доступы – Список прав доступа, запрошенных объектом.
Что вызывает событие с идентификатором 4656?
Совет эксперта:
СПОНСОР
Некоторые проблемы с ПК трудно решить, особенно когда речь идет об отсутствующих или поврежденных системных файлах и репозиториях вашей Windows.
Обязательно используйте специальный инструмент, например Защитить, который просканирует и заменит ваши поврежденные файлы их свежими версиями из своего репозитория.
Идентификатор события 4656 помогает отслеживать несколько событий, которые выполняются на вашем ПК с Windows. Некоторые из них:
- Убедитесь, что неавторизованные или ограниченные процессы запрашивают объекты.
- Попытки доступа к конфиденциальным или важным объектам.
- Действия конкретной высокоприоритетной учетной записи.
- Выявление аномалий и злонамеренных действий подозрительных учетных записей.
- Убедитесь, что неактивные, внешние и ограниченные учетные записи не используются.
- Убедитесь, что только авторизованные учетные записи могут выполнять некоторые действия или запрашивать доступ.
- Вы также можете настроить идентификатор события для обеспечения соблюдения соглашений и требований.
Теперь, когда у вас есть четкое представление об идентификаторе события 4656, давайте посмотрим, каковы должны быть ваши действия, когда идентификатор события неоднократно регистрируется в средстве просмотра событий.
Что делать, если я столкнулся с идентификатором события 4656?
1. Проверьте сведения о событии
- нажмите Окна ключ, тип просмотрщик событий в строке поиска вверху и нажмите кнопку Открыть в правом разделе результатов.
- Нажмите Журналы Windows на левой панели, чтобы просмотреть соответствующие настройки, и нажмите Безопасность.
- Список всех журналов событий появится в правой части, прокрутите вниз, найдите в списке идентификатор события 4656 и выберите его.
- Перейдите к Общий вкладку внизу и просмотрите изменение безопасности и дескрипторы запроса для файла или папки.
Если запрос является законным, вам не нужно предпринимать никаких действий. Однако, если запрос исходит из подозрительного источника, перейдите к следующему решению.
- Facebook не работает в Chrome? 7 способов быстро это исправить
- IPTV не работает на AT&T: 4 способа быстро это исправить
- Исправлено: ошибка «Это действие не может быть выполнено» в Office
- Не можете нажать на видео на YouTube? Вот что вы можете сделать
2. Изменить локальную политику безопасности
- Использовать Окна + р ярлык для запуска Бегать диалоговое окно, введите следующую команду в текстовом поле и нажмите кнопку Входить ключ.
secpol.msc
- Нажмите Настройки безопасности на левой боковой панели, чтобы развернуть дерево консоли и выбрать Расширенная конфигурация политики аудита.
- Далее разверните Политики системного аудита узел и выберите Доступ к объекту вариант.
- Двойной клик Манипуляции с дескриптором аудита в правом разделе и просмотрите настройки аудита.
- Если в настройках аудита указано Настроено, измените его на Не настроено.
- нажмите Применять кнопку для сохранения изменений.
Перенастройка расширенной политики аудита с помощью редактора локальной политики безопасности должна помочь исправить событие с идентификатором 4656, если они вошли в систему без необходимости.
3. Используйте редактор групповой политики
- Использовать Окна + р ярлык для запуска диалогового окна и введите следующую команду и нажмите кнопку OK, чтобы выполнить ее.
rsop.msc
- Развернуть Конфигурация компьютера консоли на левой панели и нажмите кнопку Параметры Windows узел.
- Далее нажмите, чтобы развернуть Настройки безопасности с последующим Местные политики а потом Политика аудио с левой боковой панели.
- Запишите Исходный объект групповой политики из Аудит доступа к объектам, корневой параметр для манипулирования дескриптором аудита.
- Выполните следующую команду в Бегать окно, нажав кнопку Входить ключ.
gpmc.msc - Перейдите к Исходный объект групповой политики вы отметили ранее, а затем ищите Манипуляции с дескриптором аудита.
- Щелкните правой кнопкой мыши Манипуляции с дескриптором аудита и выбрать Редактировать из контекстного меню.
- Установите настройку на Неполноценный и нажмите ХОРОШО кнопку для сохранения изменений.
Вам придется изменить конкретный объект групповой политики, если параметр унаследован от любого другого объекта групповой политики в локальной политике безопасности.
Это все, что касается этого руководства, чтобы разрешить событие с идентификатором 4656, если вы сталкиваетесь с ним часто. Однако вы должны знать, что решение может измениться в зависимости от конкретного сценария, когда идентификатор события 4656 появляется в средстве просмотра событий.
Обратитесь к этому руководству для подробного понимания просмотрщик событий и как вы можете использовать его для отслеживания всех событий.
Свяжитесь с нами в разделе комментариев, если вы хотите поделиться ценной информацией и отзывами.
Все еще испытываете проблемы?
СПОНСОР
Если приведенные выше рекомендации не помогли решить вашу проблему, на вашем компьютере могут возникнуть более серьезные проблемы с Windows. Мы предлагаем выбрать комплексное решение, такое как Защитить для эффективного решения проблем. После установки просто нажмите кнопку Посмотреть и исправить кнопку, а затем нажмите Начать ремонт.
![Идентификатор события 4656: был запрошен дескриптор объекта [исправлено]](/f/8694f14b5f0411d24828cbcb6d77be9c.png?width=300&height=460)
