ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Event Viewer displaying security audit logs with Event ID 4656 object access monitoring
Event ID 4656InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4656 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée

L'ID d'événement 4656 enregistre lorsqu'un processus demande un handle à un objet comme des fichiers, des clés de registre ou des processus. Critique pour l'audit de sécurité et la surveillance d'accès dans les environnements Windows.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 6
Event ID 4656Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4656 représente la phase initiale de l'audit d'accès aux objets dans la journalisation de sécurité de Windows. Lorsqu'un processus tente d'ouvrir un handle vers un objet audité, Windows génère cet événement avant d'évaluer les permissions ou d'exécuter la demande d'accès.

L'événement contient des détails complets sur la tentative d'accès, y compris le sujet (utilisateur/processus faisant la demande), l'objet accédé et les droits d'accès spécifiques demandés. Les champs ID de processus et Nom de processus identifient l'application demandeuse, tandis que le Nom de l'objet et le Type d'objet spécifient la ressource cible.

Les valeurs du masque d'accès dans l'événement correspondent à des permissions spécifiques comme READ_DATA, WRITE_DATA ou DELETE pour les fichiers, ou KEY_READ, KEY_WRITE pour les clés de registre. Le champ ID de handle fournit un identifiant unique qui lie cette demande aux événements d'accès ultérieurs pour le même handle d'objet.

Cet événement est particulièrement précieux dans les enquêtes de sécurité car il capture les tentatives d'accès, qu'elles réussissent ou échouent. Combiné avec les événements 4658 (handle fermé) et 4663 (objet accédé), il fournit une piste d'audit complète des interactions avec les objets. L'événement aide à identifier les tentatives d'accès non autorisées, l'escalade de privilèges et le comportement suspect des processus dans les environnements d'entreprise.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Processus d'ouverture d'un fichier, d'un répertoire ou d'une clé de registre avec audit activé
  • Application demandant l'accès à un autre processus ou objet de thread
  • Service tentant d'accéder à des objets système lors du démarrage ou du fonctionnement
  • Utilisateur ouvrant des fichiers dans des répertoires audités via l'Explorateur Windows
  • Logiciel de sauvegarde accédant à des fichiers et dossiers lors d'opérations programmées
  • Analyse antivirus accédant à des fichiers et clés de registre pour la détection de menaces
  • Processus système accédant à des objets du noyau lors d'opérations normales
  • Scripts ou commandes PowerShell accédant à des emplacements de registre audités
  • Outils d'administration accédant à des objets de configuration système
Méthodes de résolution

Étapes de dépannage

01

Afficher les détails de l'événement dans l'Observateur d'événements

Ouvrez le Visualisateur d'événements et accédez à l'événement spécifique pour comprendre les détails de la demande d'accès.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Utilisez Filtrer le journal actuel et entrez l'ID d'événement 4656
  4. Double-cliquez sur une entrée d'ID d'événement 4656 pour voir les détails
  5. Examinez l'onglet Général pour des informations de base
  6. Cliquez sur l'onglet Détails et sélectionnez Vue conviviale
  7. Examinez les champs clés :
    • Sujet : Compte utilisateur faisant la demande
    • Objet : Fichier cible, clé de registre ou objet système
    • Informations sur le processus : Détails de l'application demandante
    • Informations sur la demande d'accès : Permissions spécifiques demandées
Astuce pro : L'ID de poignée dans cet événement est lié aux événements 4658 (poignée fermée) et 4663 (objet accédé) correspondants pour des pistes d'audit complètes.
02

Filtrer les événements avec PowerShell

Utilisez PowerShell pour interroger et analyser les entrées d'ID d'événement 4656 avec des critères spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les entrées récentes d'ID d'événement 4656 :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez par types d'objets spécifiques (fichiers) :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} | Where-Object {$_.Message -like "*Object Type:*File*"} | Select-Object TimeCreated, Message
  4. Recherchez des noms de processus spécifiques :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} | Where-Object {$_.Message -like "*Process Name:*notepad.exe*"}
  5. Exportez les résultats pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} -MaxEvents 1000 | Export-Csv -Path "C:\Temp\Event4656_Analysis.csv" -NoTypeInformation
Avertissement : Les grands journaux de sécurité peuvent affecter les performances de PowerShell. Utilisez -MaxEvents pour limiter les résultats ou filtrez par plages de temps.
03

Configurer l'audit d'accès aux objets

Activez ou modifiez l'audit d'accès aux objets pour contrôler quand l'ID d'événement 4656 est généré.

  1. Ouvrez l'Éditeur de stratégie de groupe :
    gpedit.msc
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la stratégie d'auditAccès aux objets
  3. Configurez Audit du système de fichiers :
    • Double-cliquez sur la stratégie
    • Cochez Configurer les événements d'audit suivants
    • Sélectionnez Succès et/ou Échec
    • Cliquez sur OK
  4. Pour l'audit du registre, configurez Audit du registre de la même manière
  5. Appliquez l'audit à des objets spécifiques en utilisant l'Explorateur de fichiers :
    • Cliquez avec le bouton droit sur le dossier cible → PropriétésSécuritéAvancé
    • Cliquez sur l'onglet AuditAjouter
    • Sélectionnez les utilisateurs/groupes et les types d'accès à auditer
  6. Mettez à jour la stratégie de groupe :
    gpupdate /force
Astuce pro : Activez l'audit de manière sélective sur les répertoires sensibles pour éviter de surcharger le journal de sécurité avec des événements d'accès de routine.
04

Analyser les schémas d'accès et les implications en matière de sécurité

Enquêter sur les modèles d'ID d'événement 4656 pour identifier les problèmes de sécurité ou les comportements d'accès inhabituels.

  1. Créer un script PowerShell pour analyser les modèles d'accès :
    # Obtenir les événements des dernières 24 heures
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656; StartTime=(Get-Date).AddDays(-1)}

# Regrouper par nom de processus
$ProcessStats = $Events | ForEach-Object {
    if ($_.Message -match "Process Name:\s*(.+?)\r?\n") {
        $Matches[1]
    }
} | Group-Object | Sort-Object Count -Descending

$ProcessStats | Select-Object Name, Count
  2. Identifier les tentatives d'accès à haute fréquence :
    # Trouver les processus avec des demandes d'accès excessives
$ProcessStats | Where-Object {$_.Count -gt 100} | Format-Table -AutoSize
  3. Vérifier les accès en dehors des heures de bureau :
    # Événements en dehors des heures de bureau (18h à 6h)
$AfterHours = $Events | Where-Object {
    $Hour = $_.TimeCreated.Hour
    $Hour -lt 6 -or $Hour -gt 18
}

Write-Host "Tentatives d'accès en dehors des heures : $($AfterHours.Count)"
  4. Corréler avec les événements de connexion échouée :
    # Vérifier l'événement 4625 (connexions échouées) autour de la même période
$FailedLogons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)}
Write-Host "Connexions échouées dans la même période : $($FailedLogons.Count)"
Avertissement : Des volumes élevés d'ID d'événement 4656 provenant de processus système sont normaux. Concentrez-vous sur les modèles inhabituels ou les processus non-systèmes accédant à des objets sensibles.
05

Analyse Forensique Avancée et Réponse

Effectuer une analyse médico-légale détaillée de l'ID d'événement 4656 pour l'enquête sur l'incident de sécurité.

  1. Extraire des informations détaillées sur l'événement en utilisant l'analyse XML:
    # Analyser les données XML pour une analyse détaillée
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} -MaxEvents 100

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $EventData = $XML.Event.EventData.Data
    
    $Details = @{}
    foreach ($Data in $EventData) {
        $Details[$Data.Name] = $Data.'#text'
    }
    
    [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        SubjectUserName = $Details['SubjectUserName']
        ProcessName = $Details['ProcessName']
        ObjectName = $Details['ObjectName']
        ObjectType = $Details['ObjectType']
        AccessMask = $Details['AccessMask']
        HandleId = $Details['HandleId']
    }
}
  2. Créer une analyse chronologique:
    # Chronologie des tentatives d'accès pour un objet spécifique
$TargetObject = "C:\Sensitive\Database.mdb"
$Timeline = $Events | Where-Object {$_.Message -like "*$TargetObject*"} | 
    Sort-Object TimeCreated | 
    Select-Object TimeCreated, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*'} | Select-Object -First 1) -replace '.*Account Name:\s*',''}}
  3. Vérifier les emplacements du registre pour les mécanismes de persistance:
    # Rechercher l'accès au registre aux emplacements de persistance courants
$PersistenceKeys = @(
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce"
)

foreach ($Key in $PersistenceKeys) {
    $RegEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656} | 
        Where-Object {$_.Message -like "*$Key*"}
    if ($RegEvents) {
        Write-Host "Accès à la clé de persistance $Key : $($RegEvents.Count) événements"
    }
}
  4. Générer un rapport de sécurité:
    # Créer un rapport de sécurité complet
$Report = @{
    TotalEvents = $Events.Count
    UniqueProcesses = ($Events | ForEach-Object {($_.Message -split '\n' | Where-Object {$_ -like '*Process Name:*'}) -replace '.*Process Name:\s*',''} | Sort-Object -Unique).Count
    UniqueUsers = ($Events | ForEach-Object {($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'}) -replace '.*Account Name:\s*',''} | Sort-Object -Unique).Count
    TimeRange = "$($Events[-1].TimeCreated) to $($Events[0].TimeCreated)"
}

$Report | ConvertTo-Json | Out-File "C:\Temp\Event4656_SecurityReport.json"
Conseil de pro : Corréler l'ID d'événement 4656 avec les journaux de trafic réseau et les événements de création de processus (4688) pour une analyse complète de l'incident.

Aperçu

L'ID d'événement 4656 se déclenche chaque fois qu'un processus demande un handle à un objet dans Windows. Cela inclut les fichiers, les répertoires, les clés de registre, les processus, les threads et d'autres objets système. L'événement capture la demande d'accès initiale avant que le système ne détermine s'il accorde ou refuse l'opération.

Cet événement fait partie de l'audit de sécurité avancé de Windows et n'apparaît que lorsque l'audit d'accès aux objets est activé via la stratégie de groupe. Contrairement à l'ID d'événement 4663 qui enregistre l'accès réussi, l'ID d'événement 4656 enregistre la demande elle-même, ce qui le rend précieux pour comprendre les modèles d'accès et les problèmes de sécurité potentiels.

L'événement fournit des informations détaillées, y compris le processus demandeur, l'objet cible, les droits d'accès demandés et le contexte de sécurité. Les administrateurs système utilisent cet événement pour surveiller l'accès aux fichiers sensibles, suivre les tentatives d'escalade de privilèges et enquêter sur les incidents de sécurité. L'événement se déclenche lors des tentatives d'accès réussies et échouées, bien que le résultat soit déterminé par des événements ultérieurs dans la piste d'audit.

Questions Fréquentes

Que signifie l'ID d'événement 4656 et quand se produit-il ?+
L'ID d'événement 4656 indique qu'un processus a demandé un handle à un objet tel qu'un fichier, une clé de registre ou une ressource système. Cet événement se produit avant que Windows ne détermine s'il doit accorder ou refuser la demande d'accès. Il est généré uniquement lorsque l'audit d'accès aux objets est activé et fournit l'enregistrement initial de toute tentative d'accès, ce qui le rend précieux pour la surveillance de la sécurité et l'analyse judiciaire.
Comment activer la journalisation de l'ID d'événement 4656 si elle n'apparaît pas ?+
L'ID d'événement 4656 nécessite que l'audit d'accès aux objets soit activé. Utilisez l'Éditeur de stratégie de groupe (gpedit.msc) et accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Accès aux objets. Activez 'Audit du système de fichiers' et 'Audit du registre' pour les événements de réussite et/ou d'échec. De plus, configurez l'audit sur des objets spécifiques via leurs Propriétés → Sécurité → Avancé → Onglet Audit.
Quelle est la différence entre les ID d'événement 4656, 4658 et 4663 ?+
L'ID d'événement 4656 enregistre la demande initiale de poignée à un objet, 4663 enregistre lorsque l'objet est effectivement accédé (lu, écrit, supprimé), et 4658 indique quand la poignée est fermée. Ensemble, ils forment une piste d'audit complète : 4656 montre la demande, 4663 montre les opérations réelles effectuées, et 4658 montre quand l'accès a pris fin. Le champ Handle ID relie ces événements pour la corrélation.
Pourquoi est-ce que je vois des milliers d'entrées d'ID d'événement 4656 et comment puis-je les réduire ?+
Des volumes élevés d'Event ID 4656 résultent généralement de l'audit des répertoires système ou des clés de registre fréquemment accédés par les processus Windows. Pour réduire le volume, configurez l'audit de manière sélective uniquement sur les emplacements sensibles, excluez les processus système en utilisant des politiques d'audit avancées, ou filtrez par utilisateurs ou applications spécifiques. Utilisez PowerShell pour identifier les sources les plus fréquentes et ajustez la portée de l'audit en conséquence.
Comment puis-je utiliser l'ID d'événement 4656 pour l'enquête sur les incidents de sécurité ?+
L'ID d'événement 4656 est précieux pour suivre les tentatives d'accès non autorisées, l'escalade de privilèges et les activités malveillantes. Analysez les modèles par nom de processus, compte utilisateur et objets cibles. Recherchez les accès en dehors des heures de travail, les processus inhabituels accédant à des fichiers sensibles ou l'accès aux clés de registre de persistance. Corrélez avec les événements d'authentification échoués (4625) et les événements de création de processus (4688) pour établir une chronologie des incidents de sécurité potentiels.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4656 and object access monitoring.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy ConfigurationOfficial documentation for configuring advanced audit policies in Windows environments.https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#event-id-4656#object-access

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...