2008

Destruction · Конфигурация компьютера

Цитата Brat_ES:

не понятно как это можно одновременно перебирать пароль у больше чем 1000 учётных записей и было ли это вообще? »

kido очень даже может

Цитата Brat_ES:

осле недавнего обновления винды был обезврежен конфикер на АДэ, не уж-то он? »

именно он. если был на ад - значит точно есть на остальных машинах

Brat_ES · Отправлено: **17:08, 11-02-2011** | #3

По ходу дела да - это зверь. Нашёл подобную тему в разделе по Windows 2003, так что на усмотрение модератора - решайте удалять или оставить

П.С. Придётся в групповой политике пока не включать блокировку

или можно как-то по другому?

С уважением.

QRS · Отправлено: **20:36, 11-02-2011** | #4

Цитата Brat_ES:

Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »

Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля.

Ivan Bardeen · Отправлено: **20:46, 11-02-2011** | #5

Цитата Brat_ES:

П.С. Придётся в групповой политике пока не включать блокировку или можно как-то по другому? »

Настройте в DDCP политике аудит управления учетными записями. У вас появится событие блокирования в логе security на PDC эмуляторе и на КД, где непосредственно произошла блокировка, за номером 4740, в котором, помимо всего прочего будет указана раб. станция с которой производился подбор паролей. Соответственно отключайте эту рабю станцию от сети и "лечите".
Обязательно включите блокировку УЗ.

Delirium · Отправлено: **01:17, 14-02-2011** | #6

И еще добавлю - просмотри задачи планировщиков на локальных машинах, после этой вирусни там часто висят 5-6 задач ненужных. Я у себя вообще отключил эту службу, чтобы неповадно было. просмотреть можно командой at \\computername.

Цитата QRS:

Задайте временную блокировку на 15-20 минут в случае более чем 20 попыток ввода неверного пароля »

Вот этого как раз делать не надо, пока червь живой. Иначе вся работа компании встанет после превышения лимита попыток ввода и блокировкой учетных записей. Надо вылавливать зловреда и потом уже чистить.

Brat_ES · Отправлено: **13:04, 15-02-2011** | #7

Поступил следующим образом:
Включил блокировку после 20 попыток ввода пароля и блокировку на 5 мин. и включил аудит уч. записей - успех.
И по коду 4740 в журнале Безопасность увидел таки заражённый комп, отключил его от сети. Проблема решилась, всем спасибо за советы.

П.С. А пользователи при таком раскладе не заметили проблем

С уважением.