[Vadikan]

Попробуйте отключить службу панели управления Intel в msconfig

[St33l]

Цитата Vadikan:

Попробуйте отключить службу панели управления Intel в msconfig »

Спасибо, что откликнулись! Провел данный эксперимент, отключив службу.
Какого же было мое удивление, обнаружив повторный разлогин! Хотя все сообщения от данной службы пропали.. Разлогин, судя по всему, произошел в 2.13, потому что последняя метка времени была в 2.11. Вот события, которые я нашел в журнале.

Журнал "Приложение"

Код:

Имя журнала:   Application
Источник:      Microsoft-Windows-Winlogon
Дата:          29.04.2020 2:13:28
Код события:   6000
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <WSearch>.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
    <EventID Qualifiers="32768">6000</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.484169400Z" />
    <EventRecordID>153495</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data>WSearch</Data>
    <Binary>D9060000</Binary>
  </EventData>
</Event>

Журнал "Безопасность"

Код:

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4647
Категория задачи:Logoff
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:

Субъект:
	ИД безопасности:		ASC\Rusin
	Имя учетной записи:		rusin
	Домен учетной записи:		ASC
	Код входа:		0xA1758

Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются.  Данное событие можно рассматривать как событие выхода.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4647</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12545</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.453823000Z" />
    <EventRecordID>558452</EventRecordID>
    <Correlation ActivityID="{2afc6937-1d18-0001-d069-fc2a181dd601}" />
    <Execution ProcessID="1036" ThreadID="3308" />
    <Channel>Security</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
    <Data Name="TargetUserName">rusin</Data>
    <Data Name="TargetDomainName">ASC</Data>
    <Data Name="TargetLogonId">0xa1758</Data>
  </EventData>
</Event>

Журнал "Система"

Код:

Имя журнала:   System
Источник:      Microsoft-Windows-GroupPolicy
Дата:          29.04.2020 2:13:15
Код события:   1501
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:
Пользователь:  ASC\Rusin
Компьютер:     DELL-290.asc-ural.ru
Описание:
Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
    <EventID>1501</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>1</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:15.189604200Z" />
    <EventRecordID>76938</EventRecordID>
    <Correlation ActivityID="{667954fe-f925-4fa6-8a47-6a8e11eaf7b9}" />
    <Execution ProcessID="19676" ThreadID="7156" />
    <Channel>System</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security UserID="S-1-5-21-1374063435-2977678452-1069116982-5136" />
  </System>
  <EventData>
    <Data Name="SupportInfo1">1</Data>
    <Data Name="SupportInfo2">4232</Data>
    <Data Name="ProcessingMode">0</Data>
    <Data Name="ProcessingTimeInMilliseconds">687</Data>
    <Data Name="DCName">\\WS1.asc-ural.ru</Data>
  </EventData>
</Event>

Код:

Имя журнала:   System
Источник:      Microsoft-Windows-Winlogon
Дата:          29.04.2020 2:13:28
Код события:   7002
Категория задачи:(1102)
Уровень:       Сведения
Ключевые слова:(35184372088832)
Пользователь:  СИСТЕМА
Компьютер:     DELL-290.asc-ural.ru
Описание:
Уведомление о выходе пользователя для программы улучшения качества ПО
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{dbe9b383-7cf3-4331-91cc-a3cb16a3b538}" />
    <EventID>7002</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1102</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000200000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.524458400Z" />
    <EventRecordID>76939</EventRecordID>
    <Correlation />
    <Execution ProcessID="1128" ThreadID="1556" />
    <Channel>System</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="TSId">1</Data>
    <Data Name="UserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
  </EventData>
</Event>

Вообще журнал "Безопасность" очень странно выглядит в моменты простоя. Постоянно сыпятся сообщения logon и logoff. Вот как все это было перед разлогином:

Код:

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   5061
Категория задачи:System Integrity
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Операция шифрования.

Предмет:
	Идентификатор безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	Идентификатор входа в систему:		0x3E7

Криптографические параметры:
	Имя поставщика:	Microsoft Software Key Storage Provider
	Имя алгоритма:	RSA
	Имя ключа:	localhost-fa36cc09-63dd-4b63-8e91-cf7bf032100f
	Тип ключа:	Ключ компьютера.

Операция шифрования:
	Операция:	Открыть ключ.
	Код возврата:	0x0

______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\Гость
	Имя учетной записи:		Гость
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

___________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\Администратор
	Имя учетной записи:		Администратор
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe
	
_______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\WDAGUtilityAccount
	Имя учетной записи:		WDAGUtilityAccount
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\User
	Имя учетной записи:		User
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

_____________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\KlNagSvc
	Имя учетной записи:		KlNagSvc
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\DefaultAccount
	Имя учетной записи:		DefaultAccount
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

_________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4647
Категория задачи:Logoff
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:

Субъект:
	ИД безопасности:		ASC\Rusin
	Имя учетной записи:		rusin
	Домен учетной записи:		ASC
	Код входа:		0xA1758

Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются.  Данное событие можно рассматривать как событие выхода.

_________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:27
Код события:   4672
Категория задачи:Special Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x3E7

Привилегии:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:27
Код события:   4624
Категория задачи:Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Сведения о входе:
	Тип входа:		5
	Ограниченный режим администрирования:	-
	Виртуальная учетная запись:		Нет
	Расширенный маркер:		Да

Уровень олицетворения:		Олицетворение

Новый вход:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	ИД входа:		0x3E7
	Связанный ИД входа:		0x0
	Сетевое имя учетной записи:	-
	Сетевой домен учетной записи:	-
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	ИД процесса:		0x404
	Имя процесса:		C:\Windows\System32\services.exe

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Подробные сведения о проверке подлинности:
	Процесс входа:		Advapi  
	Пакет проверки подлинности:	Negotiate
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
	- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
	- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

_________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:26
Код события:   4672
Категория задачи:Special Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x3E7

Привилегии:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege
______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:26
Код события:   4624
Категория задачи:Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Сведения о входе:
	Тип входа:		5
	Ограниченный режим администрирования:	-
	Виртуальная учетная запись:		Нет
	Расширенный маркер:		Да

Уровень олицетворения:		Олицетворение

Новый вход:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	ИД входа:		0x3E7
	Связанный ИД входа:		0x0
	Сетевое имя учетной записи:	-
	Сетевой домен учетной записи:	-
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	ИД процесса:		0x404
	Имя процесса:		C:\Windows\System32\services.exe

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Подробные сведения о проверке подлинности:
	Процесс входа:		Advapi  
	Пакет проверки подлинности:	Negotiate
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
	- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
	- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

[Vadikan]

Там у вас система входит, пользователь выходит. А в 4798 касперский фигурирует. Может, он и ложный след, но для эксперимента можно полностью удалить.

Но если это происходит каждый раз в одно и то же время, я бы смотрел планировщик заданий. С корня библиотеки начать. В нем журнал выключен по умолчанию, надо включить. И смотреть время запуска последнего события / всю историю.

[St33l]

Удалить не получится, это корпоративная сеть. Но время разное: бывает 2+ ночи, бывает в 3+. Но всегда в районе этих часов. Но я склоняюсь, что это из-за того, что я заканчиваю работу в 17-19 часов. Сегодня сделаю еще эксперимент. Подключусь по удаленке часа в 23. И посмотрю, во сколько это произойдет.

Про журнал планировщика немного не понял. Подскажите, пожалуйста.

Скрытый текст

Да, еще момент. Событие "Уведомление о выходе пользователя для программы улучшения качества ПО". Я почитал, эту программу улучшения можно отключить. Вот попробую.

Скрытый текст

[Vadikan]

Цитата St33l:

Удалить не получится, это корпоративная сеть. »

В корпоративной сети все что угодно может быть - может, там какой-то скрипт политиками гоняют. Вам надо с ИТ-отделом это обсуждать, а не с форумом.

Цитата St33l:

Про журнал планировщика немного не понял »

Журнал включен для всех заданий, это видно в правой панели.