イベントID 4656: オブジェクトへのハンドルが要求されました [修正]

イベントID 4656は、ユーザーがMicrosoft-Windows-Security-Auditingサービスを通じてファイル、フォルダー、またはシステムレジストリにアクセスする際に発生するWindowsイベントです。

この包括的なガイドでは、イベントID 4656の重要な詳細、発生理由、およびイベントIDがログに記録された際に実施すべきアクションについて深掘りしていきます。

イベントID 4656とは？

イベントID 4656は、特定のオブジェクトへのアクセスが要求されたことを示す情報イベントです。オブジェクトは、ファイルシステム、カーネル、またはレジストリオブジェクトなど、外部ストレージや取り外し可能デバイス上のファイルシステムオブジェクトに渡ることがあります。

要求されたオブジェクトへのアクセスが拒否された場合、失敗イベントが生成されます。

イベントID 4656は、要求されたオブジェクトのシステムアクセス制御リスト（SACL）に特定のアクセス権を管理するために必要なアクセス制御エントリ（ACE）が存在する場合にのみ生成されます。

このイベントは、オブジェクトへのアクセスが要求され、要求の結果がログに記録されたことを通知します。ただし、実行された操作の詳細は提供されません。

イベントID 4656のいくつかの重要なフィールド説明は以下の通りです：

• アカウント名 – オブジェクトのハンドルを要求したアカウントの名前。
• オブジェクトの種類 – 操作中にアクセスされたオブジェクトの種類。
• オブジェクト名 – アクセスが要求されたオブジェクトの名前または識別子。例 – ファイル、パス
• プロセス名 – オブジェクトを要求している実行ファイルのアドレスパスと名前。
• アクセス – オブジェクトによって要求されたアクセス権のリスト。

イベントID 4656の原因は？

イベントID 4656は、Windows PCで実行されるいくつかのイベントを監視するのに役立ちます。これには以下のものが含まれます：

• 無許可または制限されたプロセスがオブジェクトを要求しているかどうかの確認。
• 機密性の高いまたは重要なオブジェクトへのアクセス試行。
• 特定の高優先度アカウントのアクション。
• 疑わしいアカウントの異常な行動や悪意のあるアクションの確認。
• 非アクティブ、外部、制限されたアカウントの使用確認。
• 許可されたアカウントのみが一部のアクションを実行したり、アクセスを要求したりできることの保証。
• イベントIDを設定して、規範やコンプライアンスを強制することもできます。

イベントID 4656についての大まかな理解が得られたところで、イベントビューアにイベントIDが繰り返し記録された場合の行動指針を見てみましょう。

イベントID 4656に遭遇したらどうすればよい？

1. イベントの詳細を確認する

1. Windowsキーを押し、検索バーに「イベントビューア」と入力し、右側の結果セクションでオープンオプションをクリックします。
2. 左ペインでWindowsログをクリックし、セキュリティをクリックします。
3. 右セクションにすべてのイベントログのリストが表示されるので、下にスクロールしてイベントID 4656をリストで見つけて選択します。
4. 下部の一般タブに移動し、ファイルやフォルダーのセキュリティ変更と要求したハンドルを確認します。

要求が正当なものであれば、特に何も行う必要はありません。ただし、要求が疑わしいソースからのものであるように見える場合は、次の解決策に進んでください。

このトピックの詳細を読む

• iTunesMobileDevice.dllがコンピューターから見つかりません [解決済み]
• SYNSOACC.DLLが見つかりません: Cubaseでの修正方法
• 修正: Omen Gaming Hubのアンダーボルティングが機能しない
• Windowsでnvoglv32.dllのクラッシュまたはアプリケーションエラーを修正する5つの方法
• WindowsでERROR_OBJECT_NAME_EXISTSを修正する方法

2. ローカルセキュリティポリシーを変更する

1. Windows + Rショートカットを使用して実行ダイアログボックスを起動し、テキストボックスに以下のコマンドを入力してEnterキーを押します。 secpol.msc
2. 左サイドバーでセキュリティ設定をクリックしてコンソールツリーを展開し、高度な監査ポリシーの構成を選択します。
3. 次に、システム監査ポリシーノードを展開し、オブジェクトアクセスオプションを選択します。
4. 右側のハンドル操作の監査をダブルクリックし、監査設定を確認します。
5. 監査設定が構成済みとして設定されている場合は、未構成に変更します。
6. 適用ボタンを押して変更を保存します。

ローカルセキュリティポリシーエディターを使用して高度な監査ポリシーを再構成することで、不要にログが記録されるイベントID 4656を修正できるはずです。

3. グループポリシーエディターを使用する

1. Windows + Rショートカットを使用してダイアログボックスを起動し、以下のコマンドを入力してOKボタンをクリックして実行します。 rsop.msc
2. 左パネルでコンピュータの構成コンソールを展開し、Windows設定ノードをクリックします。
3. 次に、セキュリティ設定を展開し、ローカルポリシーの後にオーディオポリシーを左サイドバーから選択します。
4. オブジェクトアクセスの監査のソースグループポリシーオブジェクトをメモします。これはハンドル操作の監査のルート設定です。
5. 実行ウィンドウで以下のコマンドを入力し、Enterキーを押します。 Gpmc.msc
6. 以前にメモしたソースグループポリシーオブジェクトに移動し、ハンドル操作の監査を探します。
7. ハンドル操作の監査を右クリックし、コンテキストメニューから編集を選択します。
8. 設定を無効に設定し、OKボタンを押して変更を保存します。

その設定が他のGPOからローカルセキュリティポリシーに継承されている場合、特定のグループポリシーオブジェクトを変更する必要があります。

これで、イベントID4656に頻繁に遭遇した場合の解決方法についてのガイドは終わりです。ただし、イベントID4656がイベントビューアに表示される際の具体的なシナリオによって、解決策が異なる場合があることに注意してください。

このガイドを参照して、イベントビューアについての詳細な理解を得て、すべてのイベントを監視する方法を活用してください。

貴重な情報やフィードバックを共有したい場合は、コメントセクションでお知らせください。