ID udalosti 4656: Bola požadovaná rukoväť objektu [Oprava]

Zobrazí sa, keď sa požaduje rukoväť na objekt

Identifikátor udalosti 4656 je udalosť systému Windows, ktorá nastane, keď používateľ pristúpi k súboru, priečinku alebo systémovému registru prostredníctvom služby Microsoft-Windows-Security-Auditing.

V tomto komplexnom sprievodcovi sa ponoríme do základných podrobností o id udalosti 4656, prečo k nej dochádza a aké akcie by ste mali vykonať, keď je id udalosti zaznamenané.

Čo je ID udalosti 4656?

ID udalosti 4656 je informačná udalosť, ktorá označuje, že pre objekt bol požadovaný špecifický prístup. Objekt sa môže líšiť od súborového systému, jadra alebo objektu registra po objekt súborového systému umiestnený na externom úložnom priestore alebo vymeniteľnom zariadení.

V prípade, že je požiadavka na prístup k objektu požiadavky odmietnutá, vygeneruje sa udalosť zlyhania.

Identifikátor udalosti 4656 sa vygeneruje iba vtedy, ak zoznam riadenia prístupu k systému (SACL) požadovaného objektu má potrebné položky riadenia prístupu (ACE) na riadenie používania špecifických prístupových práv.

Táto udalosť informuje, že bol vyžiadaný prístup k objektu a výsledky požiadavky boli zaznamenané. Udalosť však neposkytuje podrobnosti o operácii, ktorá bola vykonaná.

Niektoré zo základných popisov polí udalosti id 4656 sú nasledovné:

• Názov účtu – Názov účtu, ktorý si vyžiadal popisovač objektu.
• Typ objektu – Typ objektu, ku ktorému sa pristupuje počas operácie.
• Názov objektu – Názov alebo identifikátor objektu, pre ktorý bol požadovaný prístup. Príklad – súbor, cesta
• Názov procesu – Cesta adresy a názov spustiteľného súboru požadujúceho objekt.
• Prístupy – Zoznam prístupových práv požadovaných objektom.

Čo spôsobuje udalosť id 4656?

ID udalosti 4656 pomáha monitorovať niekoľko udalostí, ktoré sa spúšťajú na vašom počítači so systémom Windows. Niektoré z nich sú:

• Overte, či neautorizované alebo obmedzené procesy požadujú objekty.
• Pokusy o prístup k citlivým alebo dôležitým objektom.
• Akcie konkrétneho účtu s vysokou prioritou.
• Zistite anomálie a škodlivé činy podozrivých účtov.
• Overte, či sa nepoužívajú neaktívne, externé a obmedzené účty.
• Uistite sa, že iba autorizované účty môžu vykonávať niektoré akcie alebo požadovať prístup.
• Môžete tiež nakonfigurovať ID udalosti na presadzovanie konvencií a súladu.

Teraz, keď máte jasnú predstavu o id udalosti 4656, pozrime sa, aký by mal byť váš postup, keď sa id udalosti opakovane prihlasuje do prehliadača udalostí.

Čo robiť, ak sa stretnem s ID udalosti 4656?

1. Overte podrobnosti udalosti 

1. Stlačte tlačidlo Windows kľúč, typ prehliadač udalostí vo vyhľadávacom paneli v hornej časti a kliknite na OTVORENÉ možnosť v pravej časti výsledkov.
2. Kliknite Denníky systému Windows na ľavej table zobrazíte súvisiace nastavenia a kliknite Bezpečnosť.
3. V pravej časti sa zobrazí zoznam všetkých protokolov udalostí, prejdite nadol a v zozname vyhľadajte udalosť s ID 4656 a vyberte ju.
4. Prejdite na generál v spodnej časti a skontrolujte zmenu zabezpečenia a popisy požiadaviek pre súbor alebo priečinok.

Ak je žiadosť oprávnená, nemusíte podnikať žiadne kroky. Ak sa však zdá, že žiadosť pochádza z podozrivého zdroja, prejdite na ďalšie riešenie.

Prečítajte si viac o tejto téme

• Facebook nefunguje v prehliadači Chrome? 7 spôsobov, ako to rýchlo opraviť
• IPTV nefunguje na AT&T: 4 spôsoby, ako to rýchlo opraviť
• Oprava: Túto akciu nebolo možné vykonať v Office
• Nemôžete kliknúť na videá YouTube? Tu je to, čo môžete urobiť

2. Upravte lokálnu bezpečnostnú politiku 

1. Použi Windows + R skratka na spustenie Bežať dialógovom okne zadajte do textového poľa nasledujúci príkaz a stlačte kláves Zadajte kľúč. secpol.msc
2. Kliknite Bezpečnostné nastavenia na ľavom bočnom paneli rozbaľte strom konzoly a vyberte položku Rozšírená konfigurácia politiky auditu.
3. Ďalej rozbaľte Zásady auditu systému uzol a vyberte Prístup k objektu možnosť.
4. Dvojité kliknutie Manipulácia s audítorskou rukoväťou v pravej časti a skontrolujte nastavenia auditu.
5. Ak sú nastavenia auditu nastavené ako Nakonfigurované, zmeňte ho na Nie je nakonfigurované.
6. Stlačte tlačidlo Použiť tlačidlo na uloženie zmien.

Prekonfigurovanie rozšírenej politiky auditu pomocou editora lokálnej bezpečnostnej politiky by malo pomôcť opraviť ID udalosti 4656, ak sú prihlásené zbytočne.

3. Použite editor skupinovej politiky 

1. Použi Windows + R skratku na spustenie dialógového okna a zadajte nasledujúci príkaz a kliknutím na tlačidlo OK ho spustite. rsop.msc
2. Rozbaľte Konfigurácia počítača konzoly na ľavom paneli a kliknite na Nastavenia systému Windows uzol.
3. Potom kliknutím rozbaľte Bezpečnostné nastavenia nasledovaný Miestne pravidlá a potom Zásady pre zvuk z ľavého bočného panela.
4. Poznamenajte si Zdrojový objekt skupinovej politiky z Audit prístupu k objektu, koreňové nastavenie pre manipuláciu s auditom.
5. Vykonajte nasledujúci príkaz v Bežať okno stlačením tlačidla Zadajte kľúč. Gpmc.msc
6. Prejdite na Zdrojový objekt skupinovej politiky ste si predtým poznamenali a potom hľadajte Manipulácia s audítorskou rukoväťou.
7. Kliknite pravým tlačidlom myši Manipulácia s audítorskou rukoväťou a vyberte si Upraviť z kontextového menu.
8. Nastavte nastavenie na Zakázané a stlačte tlačidlo OK tlačidlo na uloženie zmien.

Budete musieť upraviť konkrétny objekt skupinovej politiky, ak je nastavenie zdedené z akéhokoľvek iného GPO na lokálnu bezpečnostnú politiku.

To je všetko o tejto príručke na vyriešenie udalosti s ID 4656, ak sa s ňou často stretávate. Mali by ste však vedieť, že riešenie sa môže zmeniť v závislosti od konkrétneho scenára, keď sa v prehliadači udalostí zobrazí id udalosti 4656.

Pozrite si túto príručku, kde nájdete podrobné pochopenie prehliadač udalostí a ako ho môžete využiť na sledovanie všetkých udalostí.

Ak sa chcete podeliť o cenné informácie a spätnú väzbu, kontaktujte nás v sekcii komentárov.