web-dev-qa-db-ja.com

一度に多くのEventID4656 PlugPlayManagerセキュリティ監査の失敗を引き起こす原因は何ですか?

Server 2008 R2サーバー(SQL 2008 R2のみを実行)の1つで、同じ1分以内に141のPlugPlayManagerセキュリティ監査の失敗が記録されていることがわかりました。グーグルをしている間、私が見つけたのは他の人だけで、同じ質問をし、答えを受け取らなかった。しかし、その後、彼らはServerFaultで質問をしませんでした..。

一度に多くのEventID4656 PlugPlayManagerセキュリティ監査の失敗を引き起こす原因は何ですか?

<Event xmlns="http://schemas.Microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
        <EventID>4656</EventID> 
        <Version>1</Version> 
        <Level>0</Level> 
        <Task>12804</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
        <EventRecordID>98756968</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="552" /> 
        <Channel>Security</Channel> 
        <Computer>MyComputer.example.com/Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
        <Data Name="SubjectUserName">MyUser</Data> 
        <Data Name="SubjectDomainName">example.com</Data> 
        <Data Name="SubjectLogonId">0x#######</Data> 
        <Data Name="ObjectServer">PlugPlayManager</Data> 
        <Data Name="ObjectType">Security</Data> 
        <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
        <Data Name="HandleId">0x0</Data> 
        <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
        <Data Name="AccessList">%%1553</Data> 
        <Data Name="AccessReason">-</Data> 
        <Data Name="AccessMask">0x2</Data> 
        <Data Name="PrivilegeList">-</Data> 
        <Data Name="RestrictedSidCount">0</Data> 
        <Data Name="ProcessId">0x28c</Data> 
        <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
    </EventData>
</Event>

それが役立つ場合、プロセス#544はlsass.exeであり、スレッド#552はプロセスエクスプローラーで「ntdll.dll!RtUserThreadStart」の開始アドレスを示しました。

windowswindows-server-2008windows-event-log
1
Nathan Hartley

このブログを参照できます http://morgantechspace.blogspot.in/2013/08/event-id-4656-repeated-security-event.html

考えられる解決策:

コマンドラインツールAuditpolを使用してHandleManipulationの成功または失敗の監査が有効になっている場合、イベント4656が発生するはずです。

サブカテゴリ操作の処理

ハンドル操作が有効になっている場合は、次の3つのイベントIDを取得します

  • 4656オブジェクトへのハンドルが要求されました。
  • 4658オブジェクトへのハンドルが閉じられました。
  • 4690オブジェクトへのハンドルを複製しようとしました。

これらのオブジェクトアクセスイベント4656を削除する場合は、次のコマンドを実行する必要があります。

Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable
2
dada

現在、Server 2012 R2では、HandleManipulationカテゴリが無効になっている場合でもイベント4656が生成されます。この例では、以前のサーバーバージョン(2008-2008R2-2012)で4660-4663イベントのみを生成していた監査ファイルシステムカテゴリを有効にしましたが、サーバー2012 R2では、これにより4656イベントの圧倒的なフローが開始されます。この問題はMicrosoftに報告されていますが、まだ解決策はありません。

3
Alex