Windows

什麼會導致一次這麼多 EventID 4656 PlugPlayManager 安全審核失敗?

  • June 17, 2016

我發現我們的一台 Server 2008 R2 伺服器(僅執行 SQL 2008 R2)在同一分鐘內記錄了 141 個 PlugPlayManager 安全審計失敗。在Google搜尋時,我只能找到其他人,問同樣的問題卻從未得到答案。但是,他們並沒有在 ServerFault 上問他們的問題……

什麼會導致一次這麼多 EventID 4656 PlugPlayManager 安全審核失敗?

例子

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
   <System>
       <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
       <EventID>4656</EventID> 
       <Version>1</Version> 
       <Level>0</Level> 
       <Task>12804</Task> 
       <Opcode>0</Opcode> 
       <Keywords>0x8010000000000000</Keywords> 
       <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
       <EventRecordID>98756968</EventRecordID> 
       <Correlation /> 
       <Execution ProcessID="544" ThreadID="552" /> 
       <Channel>Security</Channel> 
       <Computer>MyComputer.example.com/Computer> 
       <Security /> 
   </System>
   <EventData>
       <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
       <Data Name="SubjectUserName">MyUser</Data> 
       <Data Name="SubjectDomainName">example.com</Data> 
       <Data Name="SubjectLogonId">0x#######</Data> 
       <Data Name="ObjectServer">PlugPlayManager</Data> 
       <Data Name="ObjectType">Security</Data> 
       <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
       <Data Name="HandleId">0x0</Data> 
       <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
       <Data Name="AccessList">%%1553</Data> 
       <Data Name="AccessReason">-</Data> 
       <Data Name="AccessMask">0x2</Data> 
       <Data Name="PrivilegeList">-</Data> 
       <Data Name="RestrictedSidCount">0</Data> 
       <Data Name="ProcessId">0x28c</Data> 
       <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
   </EventData>
</Event>

如果有幫助,程序#544 是 lsass.exe,執行緒#552 在程序資源管理器中顯示了“ntdll.dll!RtUserThreadStart”的起始地址。

你可以參考這個部落格http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

可能的解決方案:

如果使用命令行工具 Auditpol 為句柄操作啟用了成功或失敗審核,則應發生事件 4656。

子類別搖桿操作

如果啟用了句柄操作,您將獲得以下三個事件 ID

  • 4656 請求了對象的句柄。
  • 4658 對象的句柄已關閉。
  • 4690 試圖複製一個對象的句柄。

如果您想擺脫這些對象訪問事件 4656,那麼您需要執行以下命令:

Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable

引用自:https://serverfault.com/questions/442367