Назад | Перейти на главную страницу

Что могло вызвать столько ошибок аудита безопасности EventID 4656 PlugPlayManager одновременно?

Я обнаружил 141 ошибку аудита безопасности PlugPlayManager, зарегистрированную в течение одной минуты на одном из наших серверов Server 2008 R2 (на котором запущен только SQL 2008 R2). Пока я гуглил, я мог найти только других людей, которые задавали тот же вопрос и никогда не получали ответа. Но тогда они не задавали свой вопрос на ServerFault ....

Что могло вызвать столько ошибок аудита безопасности EventID 4656 PlugPlayManager одновременно?

пример

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
        <EventID>4656</EventID> 
        <Version>1</Version> 
        <Level>0</Level> 
        <Task>12804</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
        <EventRecordID>98756968</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="552" /> 
        <Channel>Security</Channel> 
        <Computer>MyComputer.example.com/Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
        <Data Name="SubjectUserName">MyUser</Data> 
        <Data Name="SubjectDomainName">example.com</Data> 
        <Data Name="SubjectLogonId">0x#######</Data> 
        <Data Name="ObjectServer">PlugPlayManager</Data> 
        <Data Name="ObjectType">Security</Data> 
        <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
        <Data Name="HandleId">0x0</Data> 
        <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
        <Data Name="AccessList">%%1553</Data> 
        <Data Name="AccessReason">-</Data> 
        <Data Name="AccessMask">0x2</Data> 
        <Data Name="PrivilegeList">-</Data> 
        <Data Name="RestrictedSidCount">0</Data> 
        <Data Name="ProcessId">0x28c</Data> 
        <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
    </EventData>
</Event>

Если это помогает, то процесс № 544 был lsass.exe, а поток № 552 показал начальный адрес «ntdll.dll! RtUserThreadStart» в Process Explorer.

В настоящее время в Server 2012 R2 события 4656 будут генерироваться, даже если категория «Управление обработкой» отключена. В нашем случае мы включили категорию Audit File System, которая генерировала только 4660–4663 событий в предыдущих версиях сервера (2008-2008R2-2012), но на Server 2012 R2 это инициирует поток из 4656 событий. О проблеме было сообщено в Microsoft, однако решения пока нет.

Вы можете сослаться на этот блог http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

Возможное решение:

Событие 4656 должно произойти, если аудит успехов или сбоев был включен для обработки манипуляций с помощью инструмента командной строки Auditpol.

Подкатегория: Обработка манипуляций

Если включено управление обработкой, вы получите следующие три идентификатора события

  • 4656 Запрошен дескриптор объекта.
  • 4658 Дескриптор объекта был закрыт.
  • 4690 Была сделана попытка дублировать дескриптор объекта.

Если вы хотите избавиться от этого события 4656 Object Access, вам необходимо выполнить следующую команду:

Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable