ID события 4656: Запрашивалась ручка к объекту [Исправить]

ID события 4656 — это событие Windows, которое происходит, когда пользователь получает доступ к файлу, папке или системному реестру через службу Microsoft-Windows-Security-Auditing.

В этом исчерпывающем руководстве мы углубимся в основные детали ID события 4656, причины его возникновения и действия, которые следует предпринять, когда ID события зарегистрирован.

Что такое ID события 4656?

ID события 4656 является информационным событием, которое указывает на то, что был запрошен конкретный доступ к объекту. Объект может варьироваться от объекта файловой системы, ядра или реестра до объекта файловой системы, расположенного на внешнем носителе или съемном устройстве.

В случае, если запрос на доступ к объекту отклоняется, генерируется событие ошибки.

ID события 4656 генерируется только если Список Системного Контроля Доступа (SACL) запрашиваемого объекта содержит необходимые Записи Контроля Доступа (ACE) для управления использованием конкретных прав доступа.

Это событие информирует о том, что доступ к объекту был запрошен, и результаты запроса были зарегистрированы. Тем не менее, событие не предоставляет подробностей об операции, которая была выполнена.

Некоторые из основных описаний полей ID события 4656 следующие:

• Имя учетной записи — Имя учетной записи, запрашивающей ручку объекта.
• Тип объекта — Тип объекта, к которому был получен доступ во время операции.
• Имя объекта — Имя или идентификатор объекта, для которого был запрошен доступ. Пример — файл, путь.
• Имя процесса — адресный путь и имя исполняемого файла, запрашивающего объект.
• Доступы — список прав доступа, запрашиваемых объектом.

Что вызывает ID события 4656?

ID события 4656 помогает отслеживать несколько событий, которые выполняются на вашем компьютере с Windows. Некоторые из них:

• Проверка, если неавторизованные или ограниченные процессы запрашивают объекты.
• Попытки доступа к чувствительным или важным объектам.
• Действия определенной высокоприоритетной учетной записи.
• Установление аномалий и злонамеренных действий подозрительных учетных записей.
• Проверка, что неактивные, внешние и ограниченные учетные записи не используются.
• Убедиться, что только авторизованные учетные записи могут выполнять некоторые действия или запрашивать доступ.
• Вы также можете настроить ID события для соблюдения норм и требований.

Теперь, когда у вас есть представление о ID события 4656, давайте посмотрим, какие действия вам следует предпринять, когда ID события многократно регистрируется в просмотрщике событий.

Что делать, если я столкнулся с ID события 4656?

1. Проверьте детали события

1. Нажмите клавишу Windows, введите просмотр событий в строке поиска вверху и нажмите Открыть в правой части результатов.
2. Нажмите Журналы Windows на левой панели, чтобы просмотреть соответствующие настройки, и нажмите Безопасность.
3. Список всех журналов событий появится в правой части; прокрутите вниз и найдите ID события 4656 в списке и выберите его.
4. Перейдите на вкладку Общие внизу и проверьте изменения безопасности и ручки запросов для файла или папки.

Если запрос является законным, вам не нужно предпринимать никаких действий. Однако, если запрос кажется исходящим из подозрительного источника, перейдите к следующему решению. Узнайте больше об этой теме

• iTunesMobileDevice.dll отсутствует на вашем компьютере [Решено]
• SYNSOACC.DLL не удалось найти: как исправить в Cubase
• Исправлено: Уменьшение напряжения в Omen Gaming Hub не работает
• 5 способов исправить сбой nvoglv32.dll или ошибку приложения в Windows
• Как исправить ERROR_OBJECT_NAME_EXISTS в Windows

2. Измените локальную политику безопасности

1. Используйте сочетание клавиш Windows + R, чтобы открыть диалоговое окно Выполнить, введите следующую команду в текстовом поле и нажмите клавишу Enter. secpol.msc
2. Нажмите Настройки безопасности на левой боковой панели, чтобы развернуть дерево консоли, и выберите Конфигурация политики аудита .
3. Далее разверните узел Политики аудита системы и выберите Доступ к объекту .
4. Дважды щелкните Аудит манипуляций с ручками в правой части и проверьте настройки аудита.
5. Если настройки аудита установлены как Настроено , измените их на Не настроено .
6. Нажмите кнопку Применить, чтобы сохранить изменения.

Перенастройка Политики Аудита с помощью редактора локальной политики безопасности должна помочь исправить ID события 4656, если они регистрируются без необходимости.

3. Используйте редактор групповой политики

1. Используйте сочетание клавиш Windows + R, чтобы открыть диалоговое окно и введите следующую команду, затем нажмите кнопку OK, чтобы выполнить её. rsop.msc
2. Разверните консоль Конфигурация компьютера в левой панели и щелкните по узлу Настройки Windows.
3. Далее нажмите для раскрытия Настройки безопасности, затем Локальные политики и затем Политика аудита из левой боковой панели.
4. Запишите Источник групповой политики для Аудита доступа к объектам , корневой настройки для Аудита манипуляций с ручками.
5. Выполните следующую команду в окне Выполнить, нажав клавишу Enter. Gpmc.msc
6. Перейдите к Источник групповой политики, который вы записали ранее, и затем ищите Аудит манипуляций с ручками .
7. Щелкните правой кнопкой мыши Аудит манипуляций с ручками и выберите Изменить из контекстного меню.
8. Установите настройку на Отключено и нажмите кнопку OK, чтобы сохранить изменения.

Вам придется изменить конкретный объект групповой политики, если настройки унаследованы от другого GPO до локальной политики безопасности.

Вот и все по этому руководству о том, как решить проблему с ID события 4656, если вы сталкиваетесь с ним часто. Тем не менее, вы должны знать, что решение может изменяться в зависимости от конкретного сценария, когда ID события 4656 появляется в просмотрщике событий.

Обратитесь к этому руководству для более подробного понимания просмотрщика событий и того, как вы можете использовать его для мониторинга всех событий.

Свяжитесь с нами в разделе комментариев, если вы хотите поделиться ценным опытом или отзывами.