Ідентифікатор події 4656: Запитувано дескриптор об’єкта [Виправлення]

Він з’являється, коли запитується дескриптор об’єкта

Подія з ідентифікатором 4656 — це подія Windows, яка виникає, коли користувач отримує доступ до файлу, папки або системного реєстру через службу Microsoft-Windows-Security-Auditing.

У цьому вичерпному посібнику ми розглянемо основні деталі події з ідентифікатором 4656, причини її виникнення та дії, які слід виконати, коли ідентифікатор події реєструється.

Що таке ідентифікатор події 4656?

Подія з ідентифікатором 4656 — це інформаційна подія, яка вказує на те, що для об’єкта запитувано певний доступ. Об’єкт може варіюватися від файлової системи, ядра або об’єкта реєстру до об’єкта файлової системи, розташованого на зовнішній пам’яті чи знімному пристрої.

Якщо запит на доступ до об’єкта запиту відхилено, генерується подія про збій.

Ідентифікатор події 4656 генерується, лише якщо список керування доступом до системи (SACL) запитуваного об’єкта містить необхідні записи керування доступом (ACE) для керування використанням певних прав доступу.

Ця подія інформує про те, що надійшов запит на доступ до об’єкта та результати запиту були занесені в журнал. Однак на події не повідомляється подробиць проведеної операції.

Деякі з основних описів полів події з ідентифікатором 4656 такі:

• Ім'я облікового запису – Ім’я облікового запису, який запитав дескриптор для об’єкта.
• Тип об'єкта – Тип об’єкта, до якого звертаються під час операції.
• Назва об'єкта – Ім’я або ідентифікатор об’єкта, для якого надійшов запит на доступ. Приклад – файл, шлях
• Назва процесу – Шлях адреси та ім’я виконуваного файлу, який запитує об’єкт.
• Доступи – Список прав доступу, запитуваних об’єктом.

Що викликає подію з ідентифікатором 4656?

Ідентифікатор події 4656 допомагає відстежувати кілька подій, які виконуються на вашому ПК з Windows. Деякі з них:

• Перевірте, чи запитують об’єкти несанкціоновані або обмежені процеси.
• Спроби доступу до конфіденційних або важливих об'єктів.
• Дії окремого облікового запису з високим пріоритетом.
• Встановіть аномалії та зловмисні дії підозрілих облікових записів.
• Переконайтеся, що неактивні, зовнішні та обмежені облікові записи не використовуються.
• Переконайтеся, що лише авторизовані облікові записи можуть виконувати деякі дії або запитувати доступ.
• Ви також можете налаштувати ідентифікатор події для забезпечення дотримання умов і відповідності.

Тепер, коли ви маєте чітке уявлення про ідентифікатор події 4656, давайте подивимося, якими повинні бути ваші дії, коли ідентифікатор події неодноразово входитиме в засіб перегляду подій.

Що робити, якщо я стикаюся з ідентифікатором події 4656?

1. Перевірте деталі події 

1. Натисніть вікна ключ, вид переглядач подій у рядку пошуку вгорі та натисніть ВІДЧИНЕНО у правій частині результатів.
2. Натисніть Журнали Windows на лівій панелі, щоб переглянути відповідні параметри, і натисніть Безпека.
3. У правому розділі з’явиться список усіх журналів подій, прокрутіть униз і знайдіть у списку подію з ідентифікатором 4656 і виберіть її.
4. Перейдіть до Загальний внизу та перегляньте зміну безпеки та обробники запитів для файлу чи папки.

Якщо запит законний, вам не потрібно виконувати жодних дій. Однак, якщо здається, що запит походить із підозрілого джерела, перейдіть до наступного рішення.

Докладніше про цю тему

• Facebook не працює в Chrome? 7 способів швидко це виправити
• IPTV не працює на AT&T: 4 способи швидко це виправити
• Виправлення: ця дія не може бути виконана помилка в Office
• Не можете натиснути відео YouTube? Ось що ви можете зробити

2. Змініть локальну політику безпеки 

1. Використовувати вікна + Р ярлик для запуску бігти у діалоговому вікні введіть таку команду в текстове поле та натисніть Введіть ключ. secpol.msc
2. Натисніть Параметри безпеки на лівій бічній панелі, щоб розгорнути дерево консолі та вибрати Розширена конфігурація політики аудиту.
3. Далі розгорніть Політики системного аудиту вузол і виберіть Доступ до об’єктів варіант.
4. Подвійне клацання Маніпуляція ручкою аудиту у правому розділі та перегляньте параметри аудиту.
5. Якщо параметри аудиту встановлені як Налаштовано, змінити його на Не налаштовано.
6. Натисніть Застосувати кнопку для збереження змін.

Повторне налаштування розширеної політики аудиту за допомогою редактора локальної політики безпеки має допомогти виправити ідентифікатор події 4656, якщо вони ввійшли в систему без потреби.

3. Використовуйте редактор групової політики 

1. Використовувати вікна + Р ярлик для запуску діалогового вікна та введіть наступну команду та натисніть кнопку OK, щоб виконати її. rsop.msc
2. Розгорніть Конфігурація комп'ютера консолі на панелі ліворуч і натисніть кнопку Параметри Windows вузол.
3. Далі натисніть, щоб розгорнути Параметри безпеки а потім Місцева політика і потім Політика аудіо з лівої бічної панелі.
4. Занотуйте Вихідний об’єкт групової політики з Доступ до об’єкта аудиту, кореневий параметр для маніпуляції маркером аудиту.
5. Виконайте наступну команду в бігти вікно, натиснувши кнопку Введіть ключ. Gpmc.msc
6. Перейдіть до Вихідний об’єкт групової політики ви зазначили раніше, а потім шукайте Маніпуляція ручкою аудиту.
7. Клацніть правою кнопкою миші Маніпуляція ручкою аудиту і вибирайте Редагувати з контекстного меню.
8. Встановіть параметр на Вимкнено і натисніть в порядку кнопку для збереження змін.

Вам доведеться змінити певний об’єкт групової політики, якщо налаштування успадковано від будь-якого іншого GPO до локальної політики безпеки.

Це все про цей посібник, щоб вирішити подію з ідентифікатором 4656, якщо ви часто стикаєтеся з нею. Однак ви повинні знати, що рішення може змінюватися залежно від конкретного сценарію, коли в засобі перегляду подій з’являється ідентифікатор події 4656.

Зверніться до цього посібника для детального розуміння переглядач подій і як ви можете використовувати його для моніторингу всіх подій.

Зв’яжіться з нами в розділі коментарів, якщо ви хочете поділитися цінною інформацією та відгуками.