主页 / server / 问题 / 442367
Accepted
Nathan Hartley
Asked: 2012-10-26 08:05:16 +0800 CST

什么会导致一次这么多 EventID 4656 PlugPlayManager 安全审计失败?

  • 772

我发现我们的一台 Server 2008 R2 服务器(仅运行 SQL 2008 R2)在同一分钟内记录了 141 次 PlugPlayManager 安全审核失败。在谷歌搜索时,我只能找到其他人,他们问同样的问题,但从未得到答案。但是,他们没有在 ServerFault 上问他们的问题……

什么会导致一次这么多 EventID 4656 PlugPlayManager 安全审计失败?

例子

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
        <EventID>4656</EventID> 
        <Version>1</Version> 
        <Level>0</Level> 
        <Task>12804</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
        <EventRecordID>98756968</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="552" /> 
        <Channel>Security</Channel> 
        <Computer>MyComputer.example.com/Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
        <Data Name="SubjectUserName">MyUser</Data> 
        <Data Name="SubjectDomainName">example.com</Data> 
        <Data Name="SubjectLogonId">0x#######</Data> 
        <Data Name="ObjectServer">PlugPlayManager</Data> 
        <Data Name="ObjectType">Security</Data> 
        <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
        <Data Name="HandleId">0x0</Data> 
        <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
        <Data Name="AccessList">%%1553</Data> 
        <Data Name="AccessReason">-</Data> 
        <Data Name="AccessMask">0x2</Data> 
        <Data Name="PrivilegeList">-</Data> 
        <Data Name="RestrictedSidCount">0</Data> 
        <Data Name="ProcessId">0x28c</Data> 
        <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
    </EventData>
</Event>

如果有帮助的话,process#544 是 lsass.exe,而 thread#552 在 Process Explorer 中显示了“ntdll.dll!RtUserThreadStart”的起始地址。

windows

2 个回答

  1. 目前,在 Server 2012 R2 下,即使禁用了 Handle Manipulation 类别,也会生成 4656 事件。在我们的案例中,我们启用了审计文件系统类别,该类别仅在以前的服务器版本 (2008-2008R2-2012) 上生成 4660-4663 事件,但在 Server 2012 R2 上,这会启动大量 4656 事件。已将此问题报告给 Microsoft,但尚无解决方案。

    • 3
  2. Best Answer

    你可以参考这个博客http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

    可能的解决方案:

    如果使用命令行工具 Auditpol 为 Handle Manipulation 启用了成功或失败审核,则应发生事件 4656。

    子类别:手柄操作

    如果启用 Handle Manipulation,您将获得以下三个事件 ID

    • 4656 请求了一个对象句柄。
    • 4658 对象句柄已关闭。
    • 4690 试图复制一个对象的句柄。

    如果您想摆脱这些对象访问事件 4656,则需要运行以下命令:

    Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable
    • 2

相关问题