이벤트 ID 4656: 객체에 대한 핸들이 요청되었습니다 [수정]

이벤트 ID 4656은 Microsoft-Windows-Security-Auditing 서비스에 의해 사용자가 파일, 폴더 또는 시스템 레지스트리에 접근할 때 발생하는 Windows 이벤트입니다.

이 종합 가이드에서는 이벤트 ID 4656의 필수 세부사항, 발생 이유 및 이벤트 ID가 기록될 때 취해야 할 조치에 대해 살펴보겠습니다.

이벤트 ID 4656이란?

이벤트 ID 4656은 특정 객체에 대한 접근 요청이 있었다는 정보를 나타내는 이벤트입니다. 객체는 파일 시스템, 커널 또는 레지스트리 객체에서 외장 저장장치나 이동식 장치에 위치한 파일 시스템 객체까지 다양할 수 있습니다.

요청된 객체에 대한 접근 요청이 거부될 경우, 실패 이벤트가 생성됩니다.

이벤트 ID 4656은 요청된 객체의 시스템 접근 제어 목록(SACL)에 특정 접근 권한을 관리할 수 있는 필요한 접근 제어 항목(ACE)이 있는 경우에만 생성됩니다.

이 이벤트는 객체에 대한 접근이 요청되었고 요청 결과가 기록되었다는 정보를 제공합니다. 그러나 이벤트는 수행된 작업에 대한 세부정보를 제공하지 않습니다.

이벤트 ID 4656의 필수 필드 설명은 다음과 같습니다:

• 계정 이름 – 객체에 대한 핸들을 요청한 계정의 이름.
• 객체 유형 – 작업 중에 접근된 객체의 유형.
• 객체 이름 – 접근이 요청된 객체에 대한 이름 또는 식별자. 예 – 파일, 경로
• 프로세스 이름 – 객체를 요청하는 실행 파일의 주소 경로 및 이름.
• 접근 – 객체에 의해 요청된 접근 권한의 목록.

이벤트 ID 4656의 원인은 무엇인가요?

이벤트 ID 4656은 Windows PC에서 실행되는 여러 이벤트를 모니터링하는 데 도움이 됩니다. 그 일부는 다음과 같습니다:

• 비인가 또는 제한된 프로세스가 객체를 요청하는지를 확인합니다.
• 민감하거나 중요한 객체에 대한 접근 시도를 확인합니다.
• 특정 고우선 계정의 활동을 모니터링합니다.
• 의심스러운 계정의 비정상적이고 악의적인 행동을 확인합니다.
• 비활성, 외부 및 제한된 계정이 사용되지 않도록 확인합니다.
• 오직 인가된 계정만 특정 작업을 실행하거나 접근을 요청할 수 있도록 보장합니다.
• 이벤트 ID를 구성하여 규정과 준수를 시행할 수도 있습니다.

이제 이벤트 ID 4656에 대한 기본적인 이해가 생겼으니, 이벤트 뷰어에 이벤트 ID가 반복적으로 기록될 때의 행동 과정을 살펴보겠습니다.

이벤트 ID 4656을 만났을 때 해야 할 일은 무엇인가요?

1. 이벤트 세부정보 확인하기

1. Windows 키를 누르고 검색창에 이벤트 뷰어를 입력한 후, 오른쪽 결과 섹션에서 열기 옵션을 클릭합니다.
2. 왼쪽 패널에서 Windows 로그를 클릭하여 관련 설정을 보기 위해 보안을 클릭합니다.
3. 모든 이벤트 로그 목록이 오른쪽 섹션에 나타나며, 목록을 아래로 스크롤하여 이벤트 ID 4656을 찾고 선택합니다.
4. 하단의 일반 탭으로 이동하여 파일 또는 폴더에 대한 보안 변경 사항과 요청 핸들을 검토합니다.

요청이 적법하다면 추가 조치를 취할 필요가 없습니다. 그러나 요청이 의심스러운 출처에서 발생한 것처럼 보인다면 다음 솔루션으로 진행하세요. 이 주제에 대해 더 알아보기

• iTunesMobileDevice.dll이 컴퓨터에서 누락됨 [해결됨]
• SYNSOACC.DLL을 찾을 수 없음: Cubase에서 수정하는 방법
• 수정: Omen Gaming Hub 언더볼팅 작동하지 않음
• Windows에서 nvoglv32.dll 충돌 또는 애플리케이션 오류 수정하는 5가지 방법
• Windows에서 ERROR_OBJECT_NAME_EXISTS 수정하는 방법

2. 로컬 보안 정책 수정하기

1. Windows + R 단축키를 사용하여 실행 대화 상자를 열고, 텍스트 상자에 다음 명령어를 입력한 후 Enter 키를 누릅니다. secpol.msc
2. 왼쪽 사이드바에서 보안 설정을 클릭하여 콘솔 트리를 확장하고 고급 감사 정책 구성을 선택합니다.
3. 다음으로 시스템 감사 정책 노드를 확장하고 개체 접근 옵션을 선택합니다.
4. 오른쪽 섹션에서 핸들 조작 감사를 두 번 클릭하고 감사 설정을 검토합니다.
5. 감사 설정이 구성됨으로 설정되어 있다면, 이를 구성되지 않음으로 변경합니다.
6. 변경 사항을 저장하기 위해 적용 버튼을 누릅니다.

로컬 보안 정책 편집기를 사용하여 고급 감사 정책을 재구성하면 이벤트 ID 4656이 불필요하게 기록된 경우 문제를 해결하는 데 도움이 될 것입니다.

3. 그룹 정책 편집기 사용하기

1. Windows + R 단축키를 사용하여 대화 상자를 실행하고, 다음 명령어를 입력한 후 확인 버튼을 클릭하여 실행합니다. rsop.msc
2. 왼쪽 패널에서 컴퓨터 구성 콘솔을 확장하고 Windows 설정 노드를 클릭합니다.
3. 다음으로 보안 설정을 확장한 후 로컬 정책을 클릭하고 오디오 정책으로 이동합니다.
4. 핸들 조작 감사에 대한 소스 그룹 정책 객체를 기록합니다. 이는 핸들 조작 감사의 루트 설정입니다.
5. 실행 창에서 Enter 키를 눌러 다음 명령어를 실행합니다. Gpmc.msc
6. 이전에 기록한 소스 그룹 정책 객체로 이동한 후 핸들 조작 감사를 찾습니다.
7. 핸들 조작 감사를 마우스 오른쪽 버튼으로 클릭한 후 컨텍스트 메뉴에서 편집을 선택합니다.
8. 설정을 비활성화됨으로 설정하고 변경 사항을 저장하려면 확인 버튼을 누릅니다.

설정이 다른 GPO에서 로컬 보안 정책으로 상속되는 경우, 특정 그룹 정책 객체를 수정해야 합니다.

이상으로 이벤트 ID 4656이 자주 발생하는 경우 해결하기 위한 가이드가 모두 끝났습니다. 그러나 이벤트 ID 4656이 이벤트 뷰어에 나타날 때의 특정 시나리오에 따라 솔루션은 달라질 수 있다는 점을 알고 계셔야 합니다.

이 가이드를 참조하여 이벤트 뷰어에 대한 자세한 이해를 돕고 모든 이벤트를 모니터링하는 데 활용하시기 바랍니다.

소중한 정보나 피드백을 공유하고 싶다면 댓글 섹션으로 연락주세요.