Система периодически подвисает
 

Как понять причину периодического подвисания системы? Причём, не всегда система подвисает. Иногда процессор забивается на 99% и не совсем очевидно чем..
Я решил проанализировать причину. Перехожу по пути Панель управление - Система и безопасность - Администрирование - Просмотр событий.
Вот одно из полей оснастки Просмотра событий:



Нужно обратить внимание на эти данные?
ИД безопасности: NULL SID - потому что вход не выполнен. Это логично.
Имя учетной записи: Apyrom rim bBOBaTeHb - это странно. Такого имени нет. И для меня загадка кто мог входить под таким именем. Пользователи, по сути, входя на сервер по RDP нажатием на ярлык RDP-подключения и всё.
Если пробежаться по другим записям в оснастке Просмотр событий можно увидеть, что событий немерено и всегда подключаться пытается "кто-то" под разными именами и не всегда с доменным именем.

Например,
На сервере постоянно работает Kasperski Small Office Security. Вирусов никаких нет. Да и никто ничего не качает и не устанавливает с правами администратора. Права администратора лишь у меня. Пароль администратора сложный и его не подобрать.

Как вообще понять с какого компьютера ломится этот "таинственный многоликий кто-то" ? Или вообще как этот вопрос решать нужно?
Я понимаю, что конкретно IP-адрес ничего не даст, но какие-то варианты должны же быть.
Кстати, в оснастке Просмотр событий слишком мало информации. Как реально получить более конкретные данные? В принципе, коммутаторы у меня все управляемые. Можно как-то узнать IP-адресс "этого переброщика" ? У меня такое ощущение, что придётся присваивать IP-адресса всем жёстко на коммутаторах. Но, опять-таки, выход ли это?
В общем, интересно услышать как решить этот вопрос. Возможно кто-о уже сталкивался с такой ситуацией. И ещё. Это реально кто-то перебирает логины и пароли для входа, тем самым загружая сервер периодически? Или всё-таки скрин и данные, которые я привёл из оснастки Просмотр событий означают не совсем то, что я имею ввиду?

hozman,

Если RDP у Вас опубликован во вне, то вполне вероятно происходит перебор паролей каким либо злоумышленников из "дальних" краёв.

Я тоже об этом подумал, как и написалвыше. Но как узнать наверняка перебор это или ещё что-либо или из вне это прилетает или что-то внутреннее?
На самом деле, у меня все сотрудники работают внутри отдельной организации т.е. внутри каждого подразделения они работают внутри. Хотя, я могу заходить из вне на сервер иногда. Хотя, кроме меня никто не имеет прав захоить и, кроме того, никто не в курсе, что такое имеет место быть. Я захожу иногда лишь для того, что бы сделать какие-то настройки. Но все сотрудники раюотают внутри.. посредством внутренней локальной сети.

См. журнал Windows, закладка безопасность и ищите события.

А проверить очень просто, у Вас опубликован порт RDP, не стоит и не настроен "Шлюз удалённых рабочих столов" следовательно Вас ломают и перебирают пароли.

Возможно Вам поможет ещё и Просмотр и анализ логов RDP подключений в Windows.

Пожалуй, этим и займусь.

Интересно. Раньше я не подымал "Шлюз удалённых рабочих столов" и не было головняков. Интересно, что у меня подключена услуга белый IP-адрес у провайдера. Может, лучше эту услугу ликвидировать? По сути, после рестарта модема IP-адрес будет меняться и никто не будет знать, какой очередной айпишник присвоен модему. Это уже упростит ситуацию. С другой стороны, белый адрес удобен. Я вот в раздумьях..
Временно, сегодня я настроил правила для Kaspersky Small Office Security. Включил "Защиту от сетевых атак", а в "Сетевом экране" разрешил вход лишь для адресов с локальной сети. Интересно, от обилия попыток входа не будет ли стек переполняться..
А "Шлюз удалённых рабочих столов" обязательно подыму. Уже начинаю читать об этом.

Зачем!? У Вас что вставлен usb модем сразу в RDP сервер? Если да то зря... лучше всё делать через роутер.

Ставьте роутер (в идеале любой микротик) и настраивайте VPN (прямо на роутере) и будет безопасно.

Это уже к касперскому вопрос, как у них реализован данный механизм не знаю.

Я забегался эти дни..) Не совсем понятно написано. У меня этот модем подключён непосредственно в одну из сетевых карт сервера. Смысл мне подключать модем к роутеру а, к этому роутеру уже подключать сервер? По сути, всё-равно головняк. Даже, если фильтровать весь траффик, долбёжка на мой белый IP-адрес ничего хорошего не принесёт. У меня десятки обращений в секунду с модема.. Я уже написал письмо провайдеру, чтобы этот "проклятый :)" IP-адрес у меня забрали. Буду подключаться к серверу, когда нужно посредством динамического DNS.

Сетевой провод с модема будет попадать в роутер, а после него уже под впн будет трафик двигаться к серверу? Интересно, в Mirkotik веб. интерфейс какой-нить присутствует или нужно всё прописывать вручную? У меня на Zyxel и D-link веб. интерфейс имеется и это удобно, на самом деле..

Это понятно. Но как только я отключил модем с белым IP-адресом, уведомления потоковые с атаками пачками в секунду прекратились. Сейчас я подключился временно к другому модему.

Смысл есть, роутингом у Вас бы занималось спец. устройство, которое и гибче настраивать и предназначено именно для этого, да и безопасность будет повышена.

Ну почему же... Очень многие так делают. Определённая защита от BruteForcers`а в микротике есть давно.

Стоп, ещё раз что у Вас за модем? USB или нет?

Там есть всё и веб и спец утилита winbox и ssh и telnet. Буквально всё что душе угодно. Рекомендую использовать winbox или ssh.

Не спорю, но если у Вас роутеры домашней серии, то микротику они в подмётки не годятся (по гибкости настроек и стабильности работы).

Нет, конечно. Там Huawei HG8245H5
Он не под USB подключается к серверу, а по RJ-45.
Интересно..
Я бы не сказал, что домашней.. У меня всё оборудование такого уровня как zyxel GS1910-24 GigaBit Ethernet Switch
Настроек километр. Кстати, Микротики дешевле, чем оборудование, которое у меня используется. Хотя, как я понимаю, возможности Микротика более обширны, верно?
Но цена ниже у Микротика. Это так и должно быть?

Понятно, значит комбайн.

Хорошая вещь.

Да, но всё зависит от модели, там есть разные модификации с разной производительностью и под разные нужды.

Да. Микротик позиционирует себя как продукция по божеским ценам и для дома и для компаний (малых и средних, но это не значит, что нельзя их продукцию использовать в больших и очень больших компаниях, просто у таких компаний подход немного другой).