Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting   09/20/2017

      По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.  || Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published.
serzhanya

Подозрительная сетевая активность в Kaspersky Endpoint Security[В процессе]

Recommended Posts

Добрый день. Установлен Windows Server 2008 R2 SP1 и Kaspersky Endpoint Security 10 for Windows. В последнее время заметил в отчетах в "Системном аудите" странную активность :

 

1)

Программа: Kaspersky Endpoint Security 10 для Windows

Пользователь: EKOPROM\Администратор (Активный пользователь)

Компонент: Управление защитой

Объект: localhost

Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\WIN-DFTQOI8QDQG$ превысило 10 за 1 минуту в период с 07.04.2017 9:08:23 по 07.04.2017 9:23:23.

 

2) Еще вариант

 

Программа: Kaspersky Endpoint Security 10 для Windows

Пользователь: EKOPROM\Администратор, EKOPROM\l.molchanova, EKOPROM\m.syskova, EKOPROM\m.zhutaev, EKOPROM\e.petrova... (Активный пользователь)

Компонент: Управление защитой

Объект: k118.DIZIS.local

Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\n.solodova превысило 10 за 1 минуту в период с 27.03.2017 16:03:21 по 27.03.2017 16:18:21.

 

 

3)

 

Программа: Kaspersky Endpoint Security 10 для Windows

Пользователь: EKOPROM\l.molchanova, EKOPROM\n.solodova (Активный пользователь)

Компонент: Управление защитой

Объект: k118.DIZIS.local

Причина: Количество попыток ввода пароля и имени пользователя EKOPROM\n.solodova превысило 10 за 1 минуту в период с 20.04.2017 17:59:23 по 20.04.2017 18:14:23.

 

 

Пользователи, которые указаны подключаются к серверу по РДП. А вот такого пользователя EKOPROM\WIN-DFTQOI8QDQG$ вообще не существует, но тем не менее.

 

Что это может быть?

 

Share this post


Link to post
Share on other sites

Здравствуйте,

 

Пожалуйста, приложите к своему ответу отчет GSI с машины, где наблюдается проблема.

 

Спасибо!

Share this post


Link to post
Share on other sites
Сделал, объем получился более 7 Мб. Поэтому выложил на Яндекс Диск

 

https://yadi.sk/d/qDbuQfbi3HD4SR

Здравствуйте!

 

Соберите пожалуйста трассировки KES в момент воспроизведения проблемы.

 

Спасибо!

Share this post


Link to post
Share on other sites

Попробую, вот что было замечено по отчетам

ввод пароля осуществляется от двух пользователей EKOPROM\n.solodova и EKOPROM\WIN-DFTQOI8QDQG$.

Еще есть периодичность, но непредсказуемая. Например сегодня это было первый раз с 8:44:23 по 8:59:23, затем с 11:44:23 по 11:59:23 (ровно через 3 часа), затем с 12:44:23 по 12:59:23 (ровно через час), затем 13:44:23 по 13:59:23 (еще раз ровно через час), и последнее с 17:44:24 по 17:59:24(ровно через 4 часа).

И вот как угадать чтобы сделать трассировку?

Share this post


Link to post
Share on other sites

Здравствуйте,

 

В этом случае включите трассировку и дождитесь того момента, когда в системе появится сообщение о вводе пароля.

Выключите трассировку и приложите к ней экспорт эвентлогов касперского, системы, приложений и системного аудита.

 

Т.к. объем трассировок будет довольно большим, пожалуйста, сообщите, если вам понтребуется доступ к нашему FTP.

 

Спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×