Les logs de sécurité Windows indiquent que le fichier avtar.exe accède à chaque profil utilisateur sur un client

Les logs de sécurité Windows indiquent que le fichier avtar.exe accède à chaque profil utilisateur sur un client.

Pour les profils utilisateur actifs, les entrées se présentent comme suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

Pour les profils utilisateur qui ont expiré, il se présente de la manière suivante :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Pour les profils utilisateur désactivés, il se présente comme suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Vous pouvez également rencontrer des entrées similaires à ce qui suit :

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Vous trouverez ci-dessous une liste des états/sous-états courants que vous êtes susceptible de rencontrer :
 

Code d’état/sous-état	Description
0XC000005E	Aucun serveur d’accès n’est actuellement disponible pour traiter la demande d’ouverture de session.
0xC0000064	Connexion de l’utilisateur avec un compte d’utilisateur incorrect ou mal orthographié
0xC000006A	Connexion de l’utilisateur avec mot de passe incorrect ou mal orthographié
0XC000006D	Code pouvant être dû à un nom d’utilisateur ou à des informations d’authentification erronés.
0XC000006E	Nom d’utilisateur inconnu ou mot de passe incorrect
0xC000006F	Connexion de l’utilisateur en dehors des heures autorisées
0xC0000070	Connexion de l’utilisateur à partir d’une station de travail non autorisée
0xC0000071	Connexion de l’utilisateur avec un mot de passe ayant expiré
0xC0000072	Connexion de l’utilisateur à un compte désactivée par l’administrateur
0XC00000DC	Indique que l’état du serveur Sam ne permet pas d’exécuter l’opération souhaitée
0XC0000133	Problème de synchronisation des horloges entre le contrôleur de domaine et un autre ordinateur
0XC000015B	Le type de connexion demandé (alias de connexion) n’a pas été attribué à l’utilisateur sur cet ordinateur
0XC000018C	La demande de connexion a échoué en raison d’un problème au niveau de la relation de confiance entre le domaine principal et le domaine de confiance
0XC0000192	Une tentative de connexion a été effectuée, mais le service Netlogon n’a pas démarré
0xC0000193	Connexion de l’utilisateur avec un compte ayant expiré
0XC0000224	Obligation pour l’utilisateur de modifier le mot de passe à la prochaine connexion
0XC0000225	Indique un bug dans Windows, et non un risque
0xC0000234	Connexion de l’utilisateur avec un compte verrouillé
0XC00002EE	Raison de l’échec : une erreur s’est produite lors de la connexion
0XC0000413	Échec de connexion : l’ordinateur sur lequel vous vous connectez est protégé par un pare-feu d’authentification. Le compte spécifié n’est pas autorisé à s’authentifier sur cet ordinateur.

Pour obtenir une liste complète des codes, voir http://errorco.de/win32/ntstatus-h/

Ces entrées sont ajoutées au log de sécurité de chaque profil utilisateur de l’ordinateur client chaque fois qu’une sauvegarde est effectuée.

 À la fin de chaque sauvegarde, le processus avtar collecte des informations sur chaque profil du client.

Le log avtar contient la ligne suivante (notez que le nombre indiqué varie en fonction du nombre de profils) :

avtar info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Cette collecte de profils se produit à la fin de chaque session avtar sur une machine Windows.  Cela signifie qu’elle intervient non seulement à la fin d’une sauvegarde du système de fichiers Windows (avtar), mais également à chaque fois qu’un plug-in génère un processus avtar.exe.  Autrement dit, si une sauvegarde VSS Windows génère 3 processus avtar pour sauvegarder divers volumes, les profils sont collectés 3 fois.

Cette collecte de profils est activée par défaut, mais elle est uniquement utilisée pour les restaurations DTLT.  Pour chaque profil utilisateur, avtar récupère tous les groupes auxquels appartient l’utilisateur en question, afin de déterminer s’il s’agit d’un administrateur local.  Ces informations sont utilisées pour déterminer les fichiers que l’utilisateur connecté peut voir et restaurer à l’aide de l’interface Web de DTLT.

Bien que ces entrées de sécurité puissent être ignorées sans risque, il est possible de désactiver la collecte de profils sur les clients Windows Server.  Cette collecte de profils ne doit pas être désactivée sur des ordinateurs de bureau ou portables qui utilisent l’interface Web de DTLT.

Pour savoir comment désactiver la collecte des profils, veuillez contacter le support Avamar.