什么原因会同时导致如此多的 EventID 4656 PlugPlayManager 安全审计失败?

tag-icon tag-icon windows windows-server-2008 windows-event-log
什么原因会同时导致如此多的 EventID 4656 PlugPlayManager 安全审计失败?

我发现我们的一台 Server 2008 R2 服务器(仅运行 SQL 2008 R2)在同一分钟内记录了 141 次 PlugPlayManager 安全审计失败。在 Google 上搜索时,我只能找到其他人,他们问了同样的问题,却从未得到答案。但是,他们并没有在 ServerFault 上提出他们的问题......

什么原因会同时导致如此多的 EventID 4656 PlugPlayManager 安全审计失败?

例子

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
        <EventID>4656</EventID> 
        <Version>1</Version> 
        <Level>0</Level> 
        <Task>12804</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
        <EventRecordID>98756968</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="552" /> 
        <Channel>Security</Channel> 
        <Computer>MyComputer.example.com/Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
        <Data Name="SubjectUserName">MyUser</Data> 
        <Data Name="SubjectDomainName">example.com</Data> 
        <Data Name="SubjectLogonId">0x#######</Data> 
        <Data Name="ObjectServer">PlugPlayManager</Data> 
        <Data Name="ObjectType">Security</Data> 
        <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
        <Data Name="HandleId">0x0</Data> 
        <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
        <Data Name="AccessList">%%1553</Data> 
        <Data Name="AccessReason">-</Data> 
        <Data Name="AccessMask">0x2</Data> 
        <Data Name="PrivilegeList">-</Data> 
        <Data Name="RestrictedSidCount">0</Data> 
        <Data Name="ProcessId">0x28c</Data> 
        <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
    </EventData>
</Event>

如果有帮助的话,进程编号 544 是 lsass.exe,线程编号 552 在进程资源管理器中显示了“ntdll.dll!RtUserThreadStart”的起始地址。

答案1

你可以参考这个博客http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

可能的解决方案:

如果使用命令行工具 Auditpol 为句柄操作启用了成功或失败审核,则应该会发生事件 4656。

子類別处理操作

如果启用了 Handle Manipulation,你将获得以下三个事件 ID

  • 4656 请求了一个对象的句柄。
  • 4658 对象句柄已关闭。
  • 4690 尝试复制对象句柄。

如果您想摆脱这些对象访问事件 4656,那么您需要运行以下命令:

Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable

答案2

目前,在 Server 2012 R2 下,即使禁用了“句柄操作”类别,也会生成 4656 事件。在我们的案例中,我们启用了“审计文件系统”类别,该类别在以前的 Server 版本(2008-2008R2-2012)上仅生成 4660-4663 事件,但在 Server 2012 R2 上,这会引发大量 4656 事件。该问题已报告给 Microsoft,但尚未得到解决。

相关内容