Kaspersky
Solved

Количество попыток ввода пароля и имени пользователя превысило 30 за 2 минуты


Добрый день.
Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты.
Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме.
Прошу помочь с данным вопросом.
icon

Best answer by Soglasie 29 July 2019, 08:35

View original

23 replies

Userlevel 7
Badge +9
Добрый день, @Soglasie ,
Что показывает полная проверка компьютера на вирусы? Проблема только с одной учетной записью? Смена пароля от учетной записи на более сложный помогает? Приложите отчет GetSystemInfo6 с проблемного компьютера.
Badge +2
...кроме оповещений KES не сигнализирует о проблеме.
А можно скриншот как это выглядит? У нас было нечто похожее кажется.

...кроме оповещений KES не сигнализирует о проблеме.А можно скриншот как это выглядит? У нас было нечто похожее кажется.

Проверка на вирусы показала, что все ОК. Смена пароля на более сложный тоже не дала результатов. Сейчас идет сбор инфо.
Прикладываю отчет с проблемного ПК
подтверждаю проблему.
создал обращение, но там мне какой-то бред льют.
вот мое письмо:
code:
Программа: Kaspersky Endpoint Security для Windows
Операционная система: Microsoft Windows 7 x64 Service Pack 1(build 7601)
Компьютер: TD04424

Уведомления:
Предупреждение: 18.06.2019 8:26:26:
Тип события: Обнаружена подозрительная сетевая активность
Программа\Название: Kaspersky Endpoint Security для Windows
Пользователь: PROMBEZ\barylchenko.eo (Активный пользователь)
Компонент: Защита
Объект: td04424$
Объект\Название: td04424$
Причина: Количество попыток ввода пароля и имени пользователя PROMBEZ\TD04424$ превысило 30 за 2 минуты в период с 20.10.2010 1:01:01 по 18.06.2019 8:26:23.
Добрый день.
Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты.
Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме.
Прошу помочь с данным вопросом.

Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится.


Добрый день.
Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты.
Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме.
Прошу помочь с данным вопросом.
Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится.


В нашем случае идет обращение к севреру mail-srv, на котором кроме как exchange ничего и не крутится. Мы решили проблему таким образом - на ПК с проблемной учеткой снесли все пароли запомненные системой из кэша и переустановили учетную запись exchange - после этого проблема вроде бы не возникала.


Добрый день.
Исходные данные - MS Windows 10 x64, пользователь в домене. Периодически появляется данная ошибка: количество попыток ввода пароля и имени пользователя *domain*\*user* превысило 30 за 2 минуты.
Обращение идет на exchange-сервер. При этом сам пользователь не видит проблем, не блокируется учетка и ничего, кроме оповещений KES не сигнализирует о проблеме.
Прошу помочь с данным вопросом.
Подскажите, как вы нашли что именно обращение на exchange-сервер? не могу найти заразу которая стабильно раз в день по утрам куда-то ломится.

В нашем случае идет обращение к севреру mail-srv, на котором кроме как exchange ничего и не крутится. Мы решили проблему таким образом - на ПК с проблемной учеткой снесли все пароли запомненные системой из кэша и переустановили учетную запись exchange - после этого проблема вроде бы не возникала.

хотя бы как нашли сервак куда обращается?
Да никак по сути, чистая логика. Пользователь обращается к серверу на котором крутится Exchange, значит скорее всего проблема в запомненных паролях (неверных). Странно, что при этом учётка не блокируется правда, но мы решили пойти от обратного. Предположили, что проблема в outlook и решили протестить - как видите проблему решили с другого конца.
Userlevel 7
Badge +9
@PRaetorian может быть поможет решение с этого топика: https://community.kaspersky.com/produkty-kaspersky-dlya-biznesa-31/strannye-soobshcheniya-v-sistemnom-audite-2074
Попытки входа из-под юзера прекратились (outlook пытался зацепить адресную книгу LDAP под неверными учетными данными). Вчера была тишина, сегодня пришло другое сообщение:
code:
Тип события:     Обнаружена подозрительная сетевая активность
Программа\Название: Kaspersky Endpoint Security для Windows
Пользователь: NT AUTHORITY\система (Системный пользователь)
Компонент: Защита

Теперь появились попытки входа уже из-под системы.
Поддержка таки нашла проблему: виновата оказалась батарейка биоса, сбрасывающая дату при загрузки на 01.01.2010, Заменили ее, и проблема пропала.

У нас аналогичная проблема. Несколько раз в день только от одного из десятков пользователей приходит сообщение: " Количество попыток ввода пароля и имени пользователя ххх превысило 30 за 2 минуты в период..." Батарейку проверили - всё ок. "

Badge

У нас аналогичная проблема. Несколько раз в день только от одного из десятков пользователей приходит сообщение: " Количество попыток ввода пароля и имени пользователя ххх превысило 30 за 2 минуты в период..." Батарейку проверили - всё ок. "

У нас такое проявляется на машинах с Acronis Backup в момент бэкапа данных. Пытается зайти вместо учетки “пользователь@домен” только через “@”. 

На том компьютере бэкап не установлен. Сообщение прилетают по 5 раз на дню. Первое - стоит только включить компьютер.

Badge

Ищите в логах безопасности системы кто и откуда пытается залогиниться. Потом думайте, какой софт может это делать - проверьте планировщик задач.

 

c:\windows\explorer.exe логинится на  прокси. 

Userlevel 2
Badge

В controluserpasswords2 удалите неизвестные учетные данные (вида белиберда@белиберда) всё станет ок. Не знаю что за по их добавляет, но после этого спам таких сообщений прекратился. И да, это explorer лезет под этими данными.

Спасибо за совет.

В “Учётных записях пользователей” на этом компьютере нет ни одно записи (!)

Userlevel 2
Badge

не в учетных записях, а в командной строке выполнить control userpasswords2 , затем дополнительно, управление паролями.

Спасибо за совет! Это действительно помогло.

В “Учётных записях пользователей”, во вкладыше “Дополнительно”, кнопка “Управление паролями”, в подразделе “Учётные данные Windows” удалил учётку, связанную с прокси. Касперский больше не присылает уведомление о “подозрительной сетевой активности”, хотя раньше каждый день приходило несколько штук на дню.

Спасибо!

Userlevel 3
Badge +2

У меня наблюдается похожая проблема при использовании KES 11.1.1.126 на машине с Acronis Backup 12.5. Система резервного копирования использует локально созданную учётную запись. Если это легальные и успешные попытки использования учётной записи, то проблема тогда получается лишь только в интенсивности её использования.

Событие "Обнаружена подозрительная сетевая активность" произошло на компьютере BACKUP1 в домене ECORP 04 ноября 2019 г. 05:13:14 (GMT+03:00)
Тип события:     Обнаружена подозрительная сетевая активность
Программа\Название:     Kaspersky Endpoint Security для Windows
Пользователь:     NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент:     Защита
Объект:     localhost
Объект\Название:     localhost
Причина:     Количество попыток ввода пароля и имени пользователя BACKUP1\ASN User превысило 30 за 2 минуты в период с 04.11.2019 04:58:13 по 04.11.2019 05:13:13.

Reply