O que causaria tantas falhas de auditoria de segurança do EventPlay 4656 PlugPlayManager ao mesmo tempo?

Navegue suas respostas
1

Encontrei 141 falhas de auditoria de segurança PlugPlayManager registradas no mesmo minuto em um dos nossos servidores Server 2008 R2 (executando apenas o SQL 2008 R2). Enquanto pesquisando tudo que eu poderia encontrar era outras pessoas, fazendo a mesma pergunta e nunca recebendo uma resposta. Mas então, eles não fizeram sua pergunta no ServerFault ....

O que causaria tantas falhas de auditoria de segurança do EventPlay 4656 PlugPlayManager ao mesmo tempo?

Exemplo 

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
        <EventID>4656</EventID> 
        <Version>1</Version> 
        <Level>0</Level> 
        <Task>12804</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8010000000000000</Keywords> 
        <TimeCreated SystemTime="2012-10-25T15:16:38.739237000Z" /> 
        <EventRecordID>98756968</EventRecordID> 
        <Correlation /> 
        <Execution ProcessID="544" ThreadID="552" /> 
        <Channel>Security</Channel> 
        <Computer>MyComputer.example.com/Computer> 
        <Security /> 
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-21-##########-##########-#########-####</Data> 
        <Data Name="SubjectUserName">MyUser</Data> 
        <Data Name="SubjectDomainName">example.com</Data> 
        <Data Name="SubjectLogonId">0x#######</Data> 
        <Data Name="ObjectServer">PlugPlayManager</Data> 
        <Data Name="ObjectType">Security</Data> 
        <Data Name="ObjectName">PlugPlaySecurityObject</Data> 
        <Data Name="HandleId">0x0</Data> 
        <Data Name="TransactionId">{00000000-0000-0000-0000-000000000000}</Data> 
        <Data Name="AccessList">%%1553</Data> 
        <Data Name="AccessReason">-</Data> 
        <Data Name="AccessMask">0x2</Data> 
        <Data Name="PrivilegeList">-</Data> 
        <Data Name="RestrictedSidCount">0</Data> 
        <Data Name="ProcessId">0x28c</Data> 
        <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> 
    </EventData>
</Event>

Se isso ajudar, o processo # 544 foi lsass.exe e o segmento # 552 mostrou um endereço inicial de "ntdll.dll! RtUserThreadStart" no Process Explorer.

    
por Nathan Hartley 25.10.2012 / 18:05

2 respostas

2

Você pode consultar este blog link

Solução possível:

O evento 4656 deve ocorrer se a auditoria de sucesso ou falha for ativada para Manipulação de identificador usando a ferramenta de linha de comando Auditpol.

Subcategoria : Manipular Manipulação

Você receberá três IDs de evento se a Manipulação de manipulação estiver ativada

  • 4656 Um identificador para um objeto foi solicitado.
  • 4658 O identificador para um objeto foi fechado.
  • 4690 Foi feita uma tentativa de duplicar um identificador para um objeto.

Se você gostaria de se livrar deste evento 4656 de Acesso a Objeto, então você precisa executar o seguinte comando: 

Auditpol /set /subcategory:"Handle Manipulation" /Failure:disable
    
por 14.08.2013 / 20:24
3

Atualmente, sob o Server 2012 R2, os eventos 4656 serão gerados, mesmo se a categoria Handle Manipulation estiver desativada. No nosso caso, habilitamos a categoria Sistema de arquivos de auditoria, que gerava apenas eventos 4660-4663 em versões anteriores do servidor (2008-2008R2-2012), mas no Server 2012 R2 isso inicia um fluxo avassalador de 4656 eventos. O problema foi relatado à Microsoft, mas ainda não há uma resolução.

    
por 17.06.2016 / 19:11

Tags

Como fazer com que duas máquinas linux aceitem as outras conexões ssh sem pedir uma senha permite infiniband para usuários não root