ID de evento 4656: Se solicitó un control a un objeto [Solución]

El ID de evento 4656 es un evento de Windows que ocurre cuando el usuario accede a un archivo, carpeta o registro del sistema a través del servicio de Microsoft-Windows-Security-Auditing.

En esta guía completa, profundizaremos en detalles esenciales del ID de evento 4656, por qué ocurre y las acciones que debes emprender cuando se registra el ID de evento.

¿Qué es el ID de evento 4656?

El ID de evento 4656 es un evento informativo que indica que se solicitó un acceso específico a un objeto. El objeto puede variar desde un sistema de archivos, núcleo o objeto de registro hasta un objeto de sistema de archivos ubicado en almacenamiento externo o un dispositivo extraíble.

En caso de que se decline la solicitud de acceso al objeto solicitado, se genera un evento de fallo.

El ID de evento 4656 se genera solo si la Lista de Control de Acceso del Sistema (SACL) del objeto solicitado tiene las entradas necesarias de Control de Acceso (ACE) para gestionar el uso de derechos de acceso específicos.

Este evento informa que se solicitó acceso a un objeto y se registraron los resultados de la solicitud. Sin embargo, el evento no ofrece detalles de la operación que se realizó.

Algunas de las descripciones de campos esenciales del ID de evento 4656 son las siguientes:

• Nombre de Cuenta: El nombre de la cuenta que solicitó un control para un objeto.
• Tipo de Objeto: El tipo de objeto accedido durante la operación.
• Nombre de Objeto: El nombre o un identificador para un objeto al que se solicitó acceso. Ejemplo: archivo, ruta
• Nombre del Proceso: La ruta de dirección y el nombre del archivo ejecutable que solicita el objeto.
• Accesos: La lista de los derechos de acceso solicitados por el objeto.

¿Qué causa el ID de evento 4656?

El ID de evento 4656 ayuda a monitorear varios eventos que se ejecutan en tu PC con Windows. Algunos de ellos son:

• Verificar si procesos no autorizados o restringidos están solicitando objetos.
• Intentos de acceso a objetos sensibles o esenciales.
• Acciones de una cuenta de alta prioridad en particular.
• Determinar las anomalías y acciones maliciosas de cuentas sospechosas.
• Verificar que las cuentas externas, restringidas y no activas no estén en uso.
• Asegurar que solo las cuentas autorizadas puedan ejecutar algunas acciones o solicitar acceso.
• También puedes configurar el ID de evento para hacer cumplir convenciones y cumplimiento.

Ahora que tienes una idea clara del ID de evento 4656, veamos cuál debería ser tu curso de acción cuando el ID de evento se registre repetidamente en el visor de eventos.

¿Qué hacer si encuentro el ID de evento 4656?

1. Verificar los detalles del evento

1. Presiona la tecla de Windows, escribe visor de eventos en la barra de búsqueda en la parte superior y haz clic en la opción Abrir en la sección de resultados a la derecha.
2. Haz clic en Registros de Windows en el panel izquierdo para ver la configuración relacionada y haz clic en Seguridad.
3. Aparecerá la lista de todos los registros de eventos en la sección derecha, desplázate hacia abajo y localiza el ID de evento 4656 en la lista y selecciónalo.
4. Ve a la pestaña General en la parte inferior y revisa el cambio de seguridad y los controles de solicitud para el archivo o carpeta.

Si la solicitud es legítima, no tienes que tomar ninguna acción. Sin embargo, si la solicitud parece provenir de una fuente sospechosa, procede a la siguiente solución.
Lee más sobre este tema

• Falta iTunesMobileDevice.dll en tu computadora [Resuelto]
• SYNSOACC.DLL no se pudo localizar: Cómo solucionarlo en Cubase
• Solucionar: Omen Gaming Hub no funciona la subvoltaje
• 5 maneras de solucionar el error de aplicación o caída de nvoglv32.dll en Windows
• Cómo solucionar ERROR_OBJECT_NAME_EXISTS en Windows

2. Modificar la Política de Seguridad Local

1. Usa el atajo Windows + R para abrir el cuadro de diálogo Ejecutar, escribe el siguiente comando en el cuadro de texto y presiona la tecla Enter. secpol.msc
2. Haz clic en Configuración de Seguridad en la barra lateral izquierda para expandir el árbol de la consola y selecciona Configuración de Auditoría Avanzada.
3. A continuación, expande el nodo Políticas de Auditoría del Sistema y selecciona la opción Acceso a Objetos.
4. Haz doble clic en Auditoría de Manipulación de Control en la sección derecha y revisa la configuración de auditoría.
5. Si la configuración de auditoría está fijada como Configurado, cámbiala a No Configurado.
6. Presiona el botón Aplicar para guardar los cambios.

Reconfigurar la Política de Auditoría Avanzada utilizando el editor de políticas de seguridad local debería ayudar a solucionar el ID de evento 4656 si estos se registran innecesariamente.

3. Usar el editor de políticas de grupo

1. Usa el atajo Windows + R para abrir el cuadro de diálogo y escribe el siguiente comando y haz clic en el botón Aceptar para ejecutarlo. rsop.msc
2. Expande la consola de Configuración del Equipo en el panel izquierdo y haz clic en el nodo Configuraciones de Windows.
3. Luego, haz clic para expandir Configuraciones de Seguridad seguido de Políticas Locales y luego Política de Auditoría desde la barra lateral izquierda.
4. Toma nota del Objeto de Política de Grupo Fuente de Auditoría de Acceso a Objetos, la configuración raíz para la Auditoría de Manipulación de Control.
5. Ejecuta el siguiente comando en la ventana Ejecutar presionando la tecla Enter. Gpmc.msc
6. Navega al Objeto de Política de Grupo Fuente que anotaste anteriormente y luego busca Auditoría de Manipulación de Control.
7. Haz clic derecho en Auditoría de Manipulación de Control y elige Editar desde el menú contextual.
8. Establece la configuración en Deshabilitado y presiona el botón Aceptar para guardar los cambios.

Tendrás que modificar el objeto de política de grupo específico si la configuración se hereda de cualquier otro GPO a la Política de Seguridad Local.

Eso es todo sobre esta guía para resolver el ID de evento 4656 si lo encuentras con frecuencia. Sin embargo, debes saber que la solución puede cambiar dependiendo del escenario específico cuando aparece el ID de evento 4656 en el visor de eventos.

Consulta esta guía para entender mejor el visor de eventos y cómo puedes aprovecharlo para monitorear todos los eventos.

Contáctanos en la sección de comentarios si deseas compartir información valiosa y comentarios.