ID d'événement 4656 : Une poignée d'un objet a été demandée [Correction]

L’ID d’événement 4656 est un événement Windows qui se produit lorsque l’utilisateur accède à un fichier, un dossier ou un registre système via le service Microsoft-Windows-Security-Auditing.

Dans ce guide complet, nous allons plonger dans les détails essentiels de l’ID d’événement 4656, les raisons pour lesquelles il se produit et les actions que vous devez entreprendre lorsque l’ID d’événement est enregistré.

Qu’est-ce que l’ID d’événement 4656 ?

L’ID d’événement 4656 est un événement informatif qui indique qu’un accès spécifique a été demandé pour un objet. L’objet peut varier d’un système de fichiers, d’un noyau ou d’un objet de registre à un objet de système de fichiers situé sur un stockage externe ou un périphérique amovible.

En cas de refus de la demande d’accès à l’objet demandé, un événement d’échec est généré.

L’ID d’événement 4656 est généré uniquement si la liste de contrôle d’accès système (SACL) de l’objet demandé contient les entrées de contrôle d’accès (ACE) nécessaires pour gérer l’utilisation de droits d’accès spécifiques.

Cet événement informe qu’un accès à un objet a été demandé et que les résultats de la demande ont été enregistrés. Cependant, l’événement ne donne pas de détails sur l’opération qui a été effectuée.

Certaines des descriptions des champs essentiels de l’ID d’événement 4656 sont les suivantes :

• Nom du compte – Le nom du compte qui a demandé une poignée pour un objet.
• Type d’objet – Le type d’objet accédé pendant l’opération.
• Nom de l’objet – Le nom ou un identifiant pour un objet pour lequel l’accès a été demandé. Exemple – fichier, chemin
• Nom du processus – Le chemin d’adresse et le nom du fichier exécutable demandant l’objet.
• Accès – La liste des droits d’accès demandés par l’objet.

Qu’est-ce qui cause l’ID d’événement 4656 ?

L’ID d’événement 4656 aide à surveiller plusieurs événements qui s’exécutent sur votre PC Windows. Certains d’entre eux sont :

• Vérifier si des processus non autorisés ou restreints demandent des objets.
• Tentatives d’accès à des objets sensibles ou essentiels.
• Actions d’un compte à haute priorité particulier.
• Déterminer les anomalies et les actions malveillantes des comptes suspects.
• Vérifier que les comptes inactifs, externes et restreints ne sont pas utilisés.
• Assurer que seuls les comptes autorisés peuvent exécuter certaines actions ou demander un accès.
• Vous pouvez également configurer l’ID d’événement pour faire respecter des conventions et des conformités.

Maintenant que vous avez une idée claire de l’ID d’événement 4656, voyons quelle devrait être votre ligne de conduite lorsque l’ID d’événement est fréquemment enregistré dans le visualiseur d’événements.

Que faire si je rencontre l’ID d’événement 4656 ?

1. Vérifier les détails de l’événement

1. Appuyez sur la touche Windows, tapez visualiseur d’événements dans la barre de recherche en haut, et cliquez sur l’option Ouvrir dans la section de résultat à droite.
2. Cliquez sur Journaux Windows dans le panneau de gauche pour voir les paramètres associés et cliquez sur Sécurité.
3. La liste de tous les journaux d’événements apparaîtra dans la section de droite, faites défiler vers le bas et localisez l’ID d’événement 4656 dans la liste et sélectionnez-le.
4. Naviguez vers l’onglet Général en bas et examinez le changement de sécurité et les poignées de demande pour le fichier ou le dossier.

Si la demande est légitime, vous n’avez pas à prendre d’action. Cependant, si la demande semble provenir d’une source suspecte, passez à la solution suivante. Lire plus sur ce sujet

• iTunesMobileDevice.dll est manquant sur votre ordinateur [Résolu]
• SYNSOACC.DLL n’a pas pu être localisé : Comment résoudre dans Cubase
• Correction : Omen Gaming Hub sous-alimentation ne fonctionne pas
• 5 façons de résoudre l’erreur nvoglv32.dll ou d’erreur d’application dans Windows
• Comment résoudre l’erreur ERROR_OBJECT_NAME_EXISTS dans Windows

2. Modifier la stratégie de sécurité locale

1. Utilisez le raccourci Windows + R pour lancer la boîte de dialogue Exécuter, tapez la commande suivante dans la zone de texte et appuyez sur la touche Entrée. secpol.msc
2. Cliquez sur Paramètres de sécurité dans la barre latérale gauche pour développer l’arbre de la console et sélectionnez la Configuration avancée de la stratégie d’audit.
3. Ensuite, développez le nœud Stratégies d’audit système et sélectionnez l’option Accès aux objets.
4. Double-cliquez sur Audit de manipulation de poignée dans la section de droite et examinez les paramètres d’audit.
5. Si les paramètres d’audit sont définis sur Configuré, changez-les en Non configuré.
6. Appuyez sur le bouton Appliquer pour enregistrer les modifications.

Reconfigurer la politique d’audit avancée à l’aide de l’éditeur de politique de sécurité locale devrait aider à corriger l’ID d’événement 4656 si ceux-ci sont enregistrés inutilement.

3. Utiliser l’éditeur de stratégie de groupe

1. Utilisez le raccourci Windows + R pour lancer la boîte de dialogue et tapez la commande suivante et cliquez sur le bouton OK pour l’exécuter. rsop.msc
2. Développez la console Configuration de l’ordinateur dans le panneau de gauche et cliquez sur le nœud Paramètres Windows.
3. Ensuite, cliquez pour développer Paramètres de sécurité suivi de Politiques locales puis Politique d’audit dans la barre latérale gauche.
4. Notez le Objet de stratégie de groupe source de Audit d’accès aux objets, le paramètre racine pour l’audit de manipulation de poignée.
5. Exécutez la commande suivante dans la fenêtre Exécuter en appuyant sur la touche Entrée. Gpmc.msc
6. Naviguez vers l’Objet de stratégie de groupe source que vous avez noté précédemment et recherchez Audit de manipulation de poignée.
7. Cliquez avec le bouton droit sur Audit de manipulation de poignée et choisissez Modifier dans le menu contextuel.
8. Définissez le paramètre sur Désactivé et appuyez sur le bouton OK pour enregistrer les modifications.

Vous devrez modifier l’objet de stratégie de groupe spécifique si le paramètre est hérité d’un autre GPO à la politique de sécurité locale.

Voilà tout sur ce guide pour résoudre l’ID d’événement 4656 si vous le rencontrez fréquemment. Cependant, vous devez savoir que la solution peut changer en fonction du scénario spécifique lorsque l’ID d’événement 4656 apparaît dans le visualiseur d’événements.

Référez-vous à ce guide pour une compréhension détaillée du visualiseur d’événements et comment vous pouvez l’utiliser pour surveiller tous les événements.

Contactez-nous dans la section des commentaires si vous souhaitez partager des informations et des retours précieux.