Количество попыток ввода пароля и имени пользователя превысило 30 за 2 минуты

[Soglasie]

Добрый день. Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты. Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме. Прошу помочь с данным вопросом.

[Friend]

Добрый день, Soglasie , Что показывает полная проверка компьютера на вирусы? Проблема только с одной учетной записью? Смена пароля от учетной записи на более сложный помогает? Приложите отчет GetSystemInfo6 с проблемного компьютера.

[Zandatsu]

...кроме оповещений KES не сигнализирует о проблеме.

А можно скриншот как это выглядит? У нас было нечто похожее кажется.

[Soglasie]

...кроме оповещений KES не сигнализирует о проблеме.

А можно скриншот как это выглядит? У нас было нечто похожее кажется.

[Soglasie]

Проверка на вирусы показала, что все ОК. Смена пароля на более сложный тоже не дала результатов. Сейчас идет сбор инфо.

[Soglasie]

Прикладываю отчет с проблемного ПК

[PRaetorian]

подтверждаю проблему. создал обращение, но там мне какой-то бред льют. вот мое письмо: Программа: Kaspersky Endpoint Security для Windows Операционная система: Microsoft Windows 7 x64 Service Pack 1(build 7601) Компьютер: TD04424 Уведомления: Предупреждение: 18.06.2019 8:26:26: Тип события: Обнаружена подозрительная сетевая активность Программа\Название: Kaspersky Endpoint Security для Windows Пользователь: PROMBEZ\barylchenko.eo (Активный пользователь) Компонент: Защита Объект: td04424$ Объект\Название: td04424$ Причина: Количество попыток ввода пароля и имени пользователя PROMBEZ\TD04424$ превысило 30 за 2 минуты в период с 20.10.2010 1:01:01 по 18.06.2019 8:26:23.

[PRaetorian]

Добрый день. Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты. Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме. Прошу помочь с данным вопросом.

Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится. 

[Soglasie]

Добрый день. Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты. Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме. Прошу помочь с данным вопросом.

Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится. 

В нашем случае идет обращение к севреру mail-srv, на котором кроме как exchange ничего и не крутится. Мы решили проблему таким образом - на ПК с проблемной учеткой снесли все пароли запомненные системой из кэша и переустановили учетную запись exchange - после этого проблема вроде бы не возникала.

[PRaetorian]

Добрый день. Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты. Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме. Прошу помочь с данным вопросом.

Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится. 

В нашем случае идет обращение к севреру mail-srv, на котором кроме как exchange ничего и не крутится. Мы решили проблему таким образом - на ПК с проблемной учеткой снесли все пароли запомненные системой из кэша и переустановили учетную запись exchange - после этого проблема вроде бы не возникала.

хотя бы как нашли сервак куда обращается?

[Soglasie]

Да никак по сути, чистая логика. Пользователь обращается к серверу на котором крутится Exchange, значит скорее всего проблема в запомненных паролях (неверных). Странно, что при этом учётка не блокируется правда, но мы решили пойти от обратного. Предположили, что проблема в outlook и решили протестить - как видите проблему решили с другого конца.

[Friend]

PRaetorian может быть поможет решение с этого топика: https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/strannye-soobshcheniya-v-sistemnom-audite-2074

[PRaetorian]

Попытки входа из-под юзера прекратились (outlook пытался зацепить адресную книгу LDAP под неверными учетными данными). Вчера была тишина, сегодня пришло другое сообщение: Тип события: Обнаружена подозрительная сетевая активность Программа\Название: Kaspersky Endpoint Security для Windows Пользователь: NT AUTHORITY\система (Системный пользователь) Компонент: Защита Теперь появились попытки входа уже из-под системы.

[PRaetorian]

Поддержка таки нашла проблему: виновата оказалась батарейка биоса, сбрасывающая дату при загрузки на 01.01.2010, Заменили ее, и проблема пропала.

[Kindwolf]

У нас аналогичная проблема. Несколько раз в день только от одного из десятков пользователей приходит сообщение: " Количество попыток ввода пароля и имени пользователя ххх превысило 30 за 2 минуты в период..." Батарейку проверили - всё ок. "

[PavelSC]

У нас аналогичная проблема. Несколько раз в день только от одного из десятков пользователей приходит сообщение: " Количество попыток ввода пароля и имени пользователя ххх превысило 30 за 2 минуты в период..." Батарейку проверили - всё ок. "

У нас такое проявляется на машинах с Acronis Backup в момент бэкапа данных. Пытается зайти вместо учетки “пользователь@домен” только через “@”. 

[Kindwolf]

На том компьютере бэкап не установлен. Сообщение прилетают по 5 раз на дню. Первое - стоит только включить компьютер.

[PavelSC]

Ищите в логах безопасности системы кто и откуда пытается залогиниться. Потом думайте, какой софт может это делать - проверьте планировщик задач.

 

[Kindwolf]

c:\windows\explorer.exe логинится на  прокси. 

[ilkafo]

В controluserpasswords2 удалите неизвестные учетные данные (вида белиберда@белиберда) всё станет ок. Не знаю что за по их добавляет, но после этого спам таких сообщений прекратился. И да, это explorer лезет под этими данными.

[Kindwolf]

Спасибо за совет.

В “Учётных записях пользователей” на этом компьютере нет ни одно записи (!)

[ilkafo]

не в учетных записях, а в командной строке выполнить control userpasswords2 , затем дополнительно, управление паролями.

[Kindwolf]

Спасибо за совет! Это действительно помогло.

В “Учётных записях пользователей”, во вкладыше “Дополнительно”, кнопка “Управление паролями”, в подразделе “Учётные данные Windows” удалил учётку, связанную с прокси. Касперский больше не присылает уведомление о “подозрительной сетевой активности”, хотя раньше каждый день приходило несколько штук на дню.

Спасибо!

[yurasek]

У меня наблюдается похожая проблема при использовании KES 11.1.1.126 на машине с Acronis Backup 12.5. Система резервного копирования использует локально созданную учётную запись. Если это легальные и успешные попытки использования учётной записи, то проблема тогда получается лишь только в интенсивности её использования.

Событие "Обнаружена подозрительная сетевая активность" произошло на компьютере BACKUP1 в домене ECORP 04 ноября 2019 г. 05:13:14 (GMT+03:00)
Тип события:     Обнаружена подозрительная сетевая активность
Программа\Название:     Kaspersky Endpoint Security для Windows
Пользователь:     NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент:     Защита
Объект:     localhost
Объект\Название:     localhost
Причина:     Количество попыток ввода пароля и имени пользователя BACKUP1\ASN User превысило 30 за 2 минуты в период с 04.11.2019 04:58:13 по 04.11.2019 05:13:13.