- El ID de evento 4656 es un evento informativo que describe la situación en la que alguna fuente solicitó el identificador de un objeto.
- La identificación del evento ayuda a monitorear las solicitudes no autorizadas y hacer cumplir las convenciones y el cumplimiento.
El identificador de evento 4656 es un evento de Windows que ocurre cuando el usuario accede a un archivo, carpeta o registro del sistema a través del servicio Microsoft-Windows-Security-Auditing.
En esta guía completa, profundizaremos en los detalles esenciales del ID de evento 4656, por qué ocurre y las acciones que debe realizar cuando se registra el ID de evento.
¿Qué es el ID de evento 4656?
El ID de evento 4656 es un evento informativo que indica que se solicitó acceso específico para un objeto. El objeto puede variar desde un sistema de archivos, kernel u objeto de registro hasta un objeto de sistema de archivos ubicado en un almacenamiento externo o un dispositivo extraíble.
En caso de que se rechace la solicitud para acceder al objeto de solicitud, se genera un evento de falla.
El id. de evento 4656 se genera solo si la lista de control de acceso al sistema (SACL) del objeto solicitado tiene las entradas de control de acceso (ACE) necesarias para administrar el uso de derechos de acceso específicos.
Este evento informa que se solicitó acceso a un objeto y se registraron los resultados de la solicitud. Sin embargo, el evento no da detalles de la operación que se realizó.
Algunas de las descripciones de campo esenciales del evento id 4656 son las siguientes:
- Nombre de la cuenta – El nombre de la cuenta que solicitó un identificador para un objeto.
- Tipo de objeto – El tipo de objeto al que se accede durante la operación.
- Nombre del objeto – El nombre o un identificador de un objeto para el que se solicitó acceso. Ejemplo: archivo, ruta
- Nombre del proceso – La ruta de dirección y el nombre del archivo ejecutable que solicita el objeto.
- Accesos – La lista de los derechos de acceso solicitados por el objeto.
¿Qué causa el evento id 4656?
Consejo de experto:
PATROCINADO
Algunos problemas de la PC son difíciles de abordar, especialmente cuando se trata de archivos y repositorios del sistema perdidos o dañados de su Windows.
Asegúrese de utilizar una herramienta dedicada, como Fortalecerque escaneará y reemplazará sus archivos rotos con sus versiones nuevas de su repositorio.
El ID de evento 4656 ayuda a monitorear varios eventos que se ejecutan en su PC con Windows. Algunos de ellos son:
- Verifique si los procesos no autorizados o restringidos están solicitando objetos.
- Intentos de acceso a objetos sensibles o esenciales.
- Acciones de una cuenta particular de alta prioridad.
- Determinar las anomalías y acciones maliciosas de las cuentas sospechosas.
- Verifique que las cuentas no activas, externas y restringidas no estén en uso.
- Asegúrese de que solo las cuentas autorizadas puedan ejecutar algunas acciones o solicitar acceso.
- También puede configurar la identificación del evento para aplicar convenciones y cumplimientos.
Ahora que tiene una idea clara del ID de evento 4656, veamos cuál debe ser su curso de acción cuando el ID de evento se registra repetidamente en el visor de eventos.
¿Qué hacer si me encuentro con el Id. de evento 4656?
1. Verificar los detalles del evento
- presione el ventanas clave, tipo visor de eventos en la barra de búsqueda en la parte superior y haga clic en el Abierto en la sección de resultados de la derecha.
- Hacer clic Registros de Windows en el panel izquierdo para ver la configuración relacionada y haga clic en Seguridad.
- La lista de todos los registros de eventos aparecerá en la sección derecha, desplácese hacia abajo y ubique el ID de evento 4656 en la lista y selecciónelo.
- Navegar a la General en la parte inferior y revise el cambio de seguridad y los identificadores de solicitud para el archivo o la carpeta.
Si la solicitud es legítima, no es necesario que realice ninguna acción. Sin embargo, si la solicitud parece provenir de una fuente sospechosa, continúe con la siguiente solución.
2. Modificar la política de seguridad local
- Utilizar el ventanas + R atajo para iniciar el Correr cuadro de diálogo, escriba el siguiente comando en el cuadro de texto y presione el botón Ingresar llave.
secpol.msc
- Hacer clic Configuraciones de seguridad en la barra lateral izquierda para expandir el árbol de la consola y seleccione el Configuración avanzada de políticas de auditoría.
- A continuación, expanda la Políticas de auditoría del sistema nodo y seleccione el Acceso a objetos opción.
- Haga doble clic Manipulación de identificadores de auditoría en la sección derecha y revise la configuración de auditoría.
- Si la configuración de auditoría se establece como Configuradocambiarlo a No configurado.
- presione el Aplicar botón para guardar los cambios.
La reconfiguración de la política de auditoría avanzada con el editor de políticas de seguridad local debería ayudar a corregir el ID de evento 4656 si se inicia sesión innecesariamente.
3. Usa el editor de políticas de grupo
- Utilizar el ventanas + R acceso directo para iniciar el cuadro de diálogo y escriba el siguiente comando y haga clic en el botón Aceptar para ejecutarlo.
rsop.msc
- Ampliar la Configuracion de Computadora consola en el panel izquierdo y haga clic en el Configuración de Windows nodo.
- A continuación, haga clic para ampliar Configuraciones de seguridad seguido por Políticas locales y luego Política de audio de la barra lateral izquierda.
- Anote el Objeto de directiva de grupo de origen de Acceso a objetos de auditoríala configuración raíz para Audit Handle Manipulation.
- Ejecute el siguiente comando en el Correr ventana presionando el botón Ingresar llave.
Gpmc.msc
- Navegar a la Objeto de directiva de grupo de origen anotó anteriormente y luego busque Manipulación de identificadores de auditoría.
- Botón derecho del ratón Manipulación de identificadores de auditoría y elige Editar del menú contextual.
- Establezca la configuración en Desactivado y presione el botón DE ACUERDO botón para guardar los cambios.
Tendrá que modificar el objeto de política de grupo específico si la configuración se hereda de cualquier otro GPO a la política de seguridad local.
Eso es todo sobre esta guía para resolver el evento id 4656 si lo encuentra con frecuencia. Sin embargo, debe saber que la solución puede cambiar según el escenario específico cuando aparece el ID de evento 4656 en el visor de eventos.
Consulte esta guía para obtener una comprensión detallada del visor de eventos y cómo puede aprovecharlo para monitorear todos los eventos.
Comuníquese con nosotros en la sección de comentarios si desea compartir información valiosa y comentarios.
¿Sigues experimentando problemas?
PATROCINADO
Si las sugerencias anteriores no han resuelto su problema, su computadora puede experimentar problemas de Windows más graves. Sugerimos elegir una solución todo en uno como Fortalecer para solucionar problemas de manera eficiente. Después de la instalación, simplemente haga clic en el Ver y arreglar botón y luego presione Iniciar reparación.