Как понять причину периодического подвисания системы? Причём, не всегда система подвисает. Иногда процессор забивается на 99% и не совсем очевидно чем..
Я решил проанализировать причину. Перехожу по пути Панель управление - Система и безопасность - Администрирование - Просмотр событий.
Вот одно из полей оснастки Просмотра событий:

http://images.vfl.ru/ii/1599373595/2bd299e4/31555316_s.png (http://vfl.ru/fotos/2bd299e431555316.html)

Нужно обратить внимание на эти данные?
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: Apyrom rim bBOBaTeHb
Домен учетной записи: SERVER1C.ZHKS-2.LOCAL

ИД безопасности: NULL SID - потому что вход не выполнен. Это логично.
Имя учетной записи: Apyrom rim bBOBaTeHb - это странно. Такого имени нет. И для меня загадка кто мог входить под таким именем. Пользователи, по сути, входя на сервер по RDP нажатием на ярлык RDP-подключения и всё.
Если пробежаться по другим записям в оснастке Просмотр событий можно увидеть, что событий немерено и всегда подключаться пытается "кто-то" под разными именами и не всегда с доменным именем.

Например,
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: LUKE
Домен учетной записи:
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: HapaMeTpmEona
Домен учетной записи: ZHKS-2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: SUPPORT
Домен учетной записи:

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: KaK a Mary sum s APWDW nomw
Домен учетной записи: SERVER1C.ZHKS-2.LOCAL
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: STUDENT
Домен учетной записи:

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: DIRECTOR
Домен учетной записи:

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: SOPORTE
Домен учетной записи:


На сервере постоянно работает Kasperski Small Office Security. Вирусов никаких нет. Да и никто ничего не качает и не устанавливает с правами администратора. Права администратора лишь у меня. Пароль администратора сложный и его не подобрать.

Как вообще понять с какого компьютера ломится этот "таинственный многоликий кто-то" ? Или вообще как этот вопрос решать нужно?
Я понимаю, что конкретно IP-адрес ничего не даст, но какие-то варианты должны же быть.
Кстати, в оснастке Просмотр событий слишком мало информации. Как реально получить более конкретные данные? В принципе, коммутаторы у меня все управляемые. Можно как-то узнать IP-адресс "этого переброщика" ? У меня такое ощущение, что придётся присваивать IP-адресса всем жёстко на коммутаторах. Но, опять-таки, выход ли это?
В общем, интересно услышать как решить этот вопрос. Возможно кто-о уже сталкивался с такой ситуацией. И ещё. Это реально кто-то перебирает логины и пароли для входа, тем самым загружая сервер периодически? Или всё-таки скрин и данные, которые я привёл из оснастки Просмотр событий означают не совсем то, что я имею ввиду?

hozman,

Если RDP у Вас опубликован во вне, то вполне вероятно происходит перебор паролей каким либо злоумышленников из "дальних" краёв.

Если RDP у Вас опубликован во вне, то вполне вероятно происходит перебор паролей каким либо злоумышленников из "дальних" краёв. »
Я тоже об этом подумал, как и написалвыше. Но как узнать наверняка перебор это или ещё что-либо или из вне это прилетает или что-то внутреннее?
На самом деле, у меня все сотрудники работают внутри отдельной организации т.е. внутри каждого подразделения они работают внутри. Хотя, я могу заходить из вне на сервер иногда. Хотя, кроме меня никто не имеет прав захоить и, кроме того, никто не в курсе, что такое имеет место быть. Я захожу иногда лишь для того, что бы сделать какие-то настройки. Но все сотрудники раюотают внутри.. посредством внутренней локальной сети.

Но как узнать наверняка перебор это или ещё что-либо или из вне это прилетает или что-то внутреннее? »

См. журнал Windows, закладка безопасность и ищите события.

А проверить очень просто, у Вас опубликован порт RDP, не стоит и не настроен "Шлюз удалённых рабочих столов" следовательно Вас ломают и перебирают пароли.

Возможно Вам поможет ещё и Просмотр и анализ логов RDP подключений в Windows (https://winitpro.ru/index.php/2018/09/25/analizing-rdp-logs-windows-terminal-rds/).

См. журнал Windows, закладка безопасность и ищите события. »
Пожалуй, этим и займусь.

А проверить очень просто, у Вас опубликован порт RDP, не стоит и не настроен "Шлюз удалённых рабочих столов" следовательно Вас ломают и перебирают пароли. »
Интересно. Раньше я не подымал "Шлюз удалённых рабочих столов" и не было головняков. Интересно, что у меня подключена услуга белый IP-адрес у провайдера. Может, лучше эту услугу ликвидировать? По сути, после рестарта модема IP-адрес будет меняться и никто не будет знать, какой очередной айпишник присвоен модему. Это уже упростит ситуацию. С другой стороны, белый адрес удобен. Я вот в раздумьях..
Временно, сегодня я настроил правила для Kaspersky Small Office Security. Включил "Защиту от сетевых атак", а в "Сетевом экране" разрешил вход лишь для адресов с локальной сети. Интересно, от обилия попыток входа не будет ли стек переполняться..
А "Шлюз удалённых рабочих столов" обязательно подыму. Уже начинаю читать об этом.

Может, лучше эту услугу ликвидировать? »

Зачем!? У Вас что вставлен usb модем сразу в RDP сервер? Если да то зря... лучше всё делать через роутер.

С другой стороны, белый адрес удобен. Я вот в раздумьях.. »

Ставьте роутер (в идеале любой микротик) и настраивайте VPN (прямо на роутере) и будет безопасно.

Интересно, от обилия попыток входа не будет ли стек переполняться.. »

Это уже к касперскому вопрос, как у них реализован данный механизм не знаю.

Зачем!? У Вас что вставлен usb модем сразу в RDP сервер? Если да то зря... лучше всё делать через роутер. »
Я забегался эти дни..) Не совсем понятно написано. У меня этот модем подключён непосредственно в одну из сетевых карт сервера. Смысл мне подключать модем к роутеру а, к этому роутеру уже подключать сервер? По сути, всё-равно головняк. Даже, если фильтровать весь траффик, долбёжка на мой белый IP-адрес ничего хорошего не принесёт. У меня десятки обращений в секунду с модема.. Я уже написал письмо провайдеру, чтобы этот "проклятый :)" IP-адрес у меня забрали. Буду подключаться к серверу, когда нужно посредством динамического DNS.

Ставьте роутер (в идеале любой микротик) и настраивайте VPN (прямо на роутере) и будет безопасно. »
Сетевой провод с модема будет попадать в роутер, а после него уже под впн будет трафик двигаться к серверу? Интересно, в Mirkotik веб. интерфейс какой-нить присутствует или нужно всё прописывать вручную? У меня на Zyxel и D-link веб. интерфейс имеется и это удобно, на самом деле..

Это уже к касперскому вопрос, как у них реализован данный механизм не знаю. »
Это понятно. Но как только я отключил модем с белым IP-адресом, уведомления потоковые с атаками пачками в секунду прекратились. Сейчас я подключился временно к другому модему.

У меня этот модем подключён непосредственно в одну из сетевых карт сервера. Смысл мне подключать модем к роутеру а, к этому роутеру уже подключать сервер? »

Смысл есть, роутингом у Вас бы занималось спец. устройство, которое и гибче настраивать и предназначено именно для этого, да и безопасность будет повышена.

Даже, если фильтровать весь траффик, долбёжка на мой белый IP-адрес ничего хорошего не принесёт. »

Ну почему же... Очень многие так делают. Определённая защита от BruteForcers`а в микротике есть давно.

Сетевой провод с модема будет попадать в роутер, а после него уже под впн будет трафик двигаться к серверу? »

Стоп, ещё раз что у Вас за модем? USB или нет?

Интересно, в Mirkotik веб. интерфейс какой-нить присутствует или нужно всё прописывать вручную? »

Там есть всё и веб и спец утилита winbox и ssh и telnet. Буквально всё что душе угодно. Рекомендую использовать winbox или ssh.

У меня на Zyxel и D-link веб. интерфейс имеется и это удобно, на самом деле.. »

Не спорю, но если у Вас роутеры домашней серии, то микротику они в подмётки не годятся (по гибкости настроек и стабильности работы).

Стоп, ещё раз что у Вас за модем? USB или нет? »
Нет, конечно. Там Huawei HG8245H5
Он не под USB подключается к серверу, а по RJ-45.
Там есть всё и веб и спец утилита winbox и ssh и telnet. Буквально всё что душе угодно. Рекомендую использовать winbox или ssh. »
Интересно..
Не спорю, но если у Вас роутеры домашней серии, то микротику они в подмётки не годятся (по гибкости настроек и стабильности работы). »
Я бы не сказал, что домашней.. У меня всё оборудование такого уровня как zyxel GS1910-24 GigaBit Ethernet Switch (https://www.zyxel.com/us/en/products_services/xgs1910_gs1910_series.shtml?t=p)
Настроек километр. Кстати, Микротики дешевле, чем оборудование, которое у меня используется. Хотя, как я понимаю, возможности Микротика более обширны, верно?
Но цена ниже у Микротика. Это так и должно быть?

Нет, конечно. Там Huawei HG8245H5
Он не под USB подключается к серверу, а по RJ-45. »

Понятно, значит комбайн.

Я бы не сказал, что домашней.. У меня всё оборудование такого уровня как zyxel GS1910-24 GigaBit Ethernet Switch »

Хорошая вещь.

Хотя, как я понимаю, возможности Микротика более обширны, верно? »

Да, но всё зависит от модели, там есть разные модификации с разной производительностью и под разные нужды.

Но цена ниже у Микротика. Это так и должно быть? »

Да. Микротик позиционирует себя как продукция по божеским ценам и для дома и для компаний (малых и средних, но это не значит, что нельзя их продукцию использовать в больших и очень больших компаниях, просто у таких компаний подход немного другой).