Windows
什麼會導致一次這麼多 EventID 4656 PlugPlayManager 安全審核失敗?
我發現我們的一台 Server 2008 R2 伺服器(僅執行 SQL 2008 R2)在同一分鐘內記錄了 141 個 PlugPlayManager 安全審計失敗。在Google搜尋時,我只能找到其他人,問同樣的問題卻從未得到答案。但是,他們並沒有在 ServerFault 上問他們的問題……
什麼會導致一次這麼多 EventID 4656 PlugPlayManager 安全審核失敗?
例子
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12804</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> <EventRecordID>98756968</EventRecordID> <Correlation /> <Execution ProcessID="544" ThreadID="552" /> <Channel>Security</Channel> <Computer>MyComputer.example.com/Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> <Data Name="SubjectUserName">MyUser</Data> <Data Name="SubjectDomainName">example.com</Data> <Data Name="SubjectLogonId">0x#######</Data> <Data Name="ObjectServer">PlugPlayManager</Data> <Data Name="ObjectType">Security</Data> <Data Name="ObjectName">PlugPlaySecurityObject</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1553</Data> <Data Name="AccessReason">-</Data> <Data Name="AccessMask">0x2</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x28c</Data> <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> </EventData> </Event>
如果有幫助,程序#544 是 lsass.exe,執行緒#552 在程序資源管理器中顯示了“ntdll.dll!RtUserThreadStart”的起始地址。
你可以參考這個部落格http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html
可能的解決方案:
如果使用命令行工具 Auditpol 為句柄操作啟用了成功或失敗審核,則應發生事件 4656。
子類別:搖桿操作
如果啟用了句柄操作,您將獲得以下三個事件 ID
- 4656 請求了對象的句柄。
- 4658 對象的句柄已關閉。
- 4690 試圖複製一個對象的句柄。
如果您想擺脫這些對象訪問事件 4656,那麼您需要執行以下命令:
Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable