Kaspersky
Solved

странные сообщения в Системном аудите


  • Community Citizen
  • 4 replies
Несколько подобных сообщений в день на серверах:
Программа: Kaspersky Endpoint Security для Windows
Пользователь: NT AUTHORITY\SYSTEM (Системный пользователь)
Компонент: Защита
Объект: localhost
Причина: Количество попыток ввода пароля и имени пользователя domen\servername$ превысило 30 за 2 минуты в период с 03.07.2019 14:20:48 по 03.07.2019 14:35:48.

ПО: KES для Windows
Версия: 11.0.0.6499
ОС: Windows 2012 R2

Что это означает и как от этого избавиться?
icon

Best answer by Demiad 5 July 2019, 11:32

Далеко не уверен, что это того рода проблема, но мне знакома ситуация, когда KSC пытался ломиться под неверными доменными учётными дынными.

Например, KSC установлен на доменной машине, у вас на хостах есть локальная учётная запись .\Admin и под ней надо выполнить подключение для удалённой установки ПО (не средствами сетевого агента или GPO), то если вы укажите в задаче учётную запись даже без указания домена, то при ошибках установки в результатах выполнения задачи можно увидеть как установщик подставляет несколько вариантов написания учётной записи и с доменом и без.
View original

11 replies

Userlevel 3
Badge +2
Добрый день!
Имеются ли аналогичные события в истории на KSC от KES?

Спасибо!
Userlevel 7
Badge +9
ПО: KES для Windows
Версия: 11.0.0.6499
ОС: Windows 2012 R2

Что это означает и как от этого избавиться?

Проверяли компьютер на вирусы?
Если есть возможность, попробуйте обновить Kaspersky Endpoint Security до версии: 11.1.1.126, или же установите специальный продукт для сервера, если лицензия позволяет.
Может проблема исчезнет.
повторная тема
Количество попыток ввода пароля и имени пользователя превысило 30 за 2 минуты | Kaspersky Community
я уже третью неделю бодаюсь с поддержкой по этому поводу
Userlevel 7
Badge +5
Далеко не уверен, что это того рода проблема, но мне знакома ситуация, когда KSC пытался ломиться под неверными доменными учётными дынными.
Например, KSC установлен на доменной машине, у вас на хостах есть локальная учётная запись .\Admin и под ней надо выполнить подключение для удалённой установки ПО (не средствами сетевого агента или GPO), то если вы укажите в задаче учётную запись даже без указания домена, то при ошибках установки в результатах выполнения задачи можно увидеть как установщик подставляет несколько вариантов написания учётной записи и с доменом и без.
@Dmitry Parshutin , Добрый день! В истории на KSC (в отчетах об угрозах) ничего такого нет.
На самом KSC - KES не установлен.
Userlevel 5
Badge +4
Здравствуйте,

Уточните, пожалуйста, в настройках KES корректно указаны логин/пароль для прокси(если используется)?
Установлены ли у вас какие-либо патчи для KES?
Добрый день!
Прокси не используется. Патчи не установлены.
Добрый день!
Прокси не используется. Патчи не установлены.

Агент 11-й вместе с установкой создает пользователя служебного для KSN.
Попробуй отключить KSN
@Sever-nur , KSN выключен везде.
Userlevel 5
Badge +4
Уточните, пожалуйста, подобное поведение воспроизводится с KES 11.1?
Если обновиться по каким-то причинам невозможно, пожалуйста создайте запрос в https://companyaccount.kaspersky.com , получите патч PF5142 и уточните, воспроизводится ли анное поведение с установленным патчем.

Спасибо!
Обновление до версии 11.1 помогло. Подобные сообщения больше не появляются. Спасибо!

Reply