服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么事情会一次造成这么多的EventID 4656 PlugPlayManager安全审计失败?
Intereting Posts
尽pipe我知道密码,但无法解密私钥事件 Apple服务器:通过Profile Manager自动“信任这台电脑” 服务器响应每个命令的“总线错误” Ubuntu + Postfix:邮件日志丢失 SGE – 使用资源配额configuration将用户限制到某个主机 Nagios电子邮件通知在CentOS上不起作用 使用Bitbucket作为/ etc的Git仓库的远程安全是否安全? 旋转备份解决scheme – Windows用户数据 查看哪个目录占用空间而不考虑其他挂载点 如何在我的networking上完全阻止Windows Update 如何提高在Debian 7.5上proftpd FTP目录列表的速度? iptables的FORWARD端口到内部服务器 networking唤醒为戴尔Poweredge 2950? Mule ESB以SYSTEM用户启动embedded式tomcat – Windows Server 2008 R2 系统中心configurationpipe理器2012 SP1 PXE启动

什么事情会一次造成这么多的EventID 4656 PlugPlayManager安全审计失败?

我发现在我们的Server 2008 R2服务器(仅运行SQL 2008 R2)的同一分钟内logging了141个PlugPlayManager安全审核失败。 虽然谷歌search我能find的是其他人,问同样的问题,从来没有收到答复。 但是,他们没有在ServerFault上问他们的问题….

什么事情会一次造成这么多的EventID 4656 PlugPlayManager安全审计失败? 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> <EventID>4656</EventID> <Version>1</Version> <Level>0</Level> <Task>12804</Task> <Opcode>0</Opcode> <Keywords>0x8010000000000000</Keywords> <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> <EventRecordID>98756968</EventRecordID> <Correlation /> <Execution ProcessID="544" ThreadID="552" /> <Channel>Security</Channel> <Computer>MyComputer.example.com/Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> <Data Name="SubjectUserName">MyUser</Data> <Data Name="SubjectDomainName">example.com</Data> <Data Name="SubjectLogonId">0x#######</Data> <Data Name="ObjectServer">PlugPlayManager</Data> <Data Name="ObjectType">Security</Data> <Data Name="ObjectName">PlugPlaySecurityObject</Data> <Data Name="HandleId">0x0</Data> <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> <Data Name="AccessList">%%1553</Data> <Data Name="AccessReason">-</Data> <Data Name="AccessMask">0x2</Data> <Data Name="PrivilegeList">-</Data> <Data Name="RestrictedSidCount">0</Data> <Data Name="ProcessId">0x28c</Data> <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> </EventData> </Event>

如果有帮助,进程#544是lsass.exe,线程#552在进程资源pipe理器中显示“ntdll.dll!RtUserThreadStart”的起始地址。

你可以参考这个博客http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

解决方法:

如果使用命令行工具Auditpol为“句柄操作”启用了“成功”或“失败”审核,则应该发生事件4656。

子类别手柄操作

如果启用了Handle Manipulation,您将获得以下三个事件ID

  • 4656请求了一个对象的句柄。
  • 4658对象的句柄已closures。
  • 4690尝试复制对象的句柄。

如果您想要摆脱这些对象访问事件4656那么您需要运行以下命令: 

 Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable

目前,即使Handle Manipulation类别被禁用,Server 2012 R2下的事件4656也将生成。 在我们的例子中,我们启用了审计文件系统类别,该类别仅在以前的服务器版本(2008-2008R2-2012)上生成了4660-4663个事件,但在Server 2012 R2上启动了4656个事件的压倒性stream量。 这个问题已经报告给微软,但是还没有解决。