Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Profitez de récompenses et de remises réservées aux membres
  • Créez et accédez à une liste de vos produits

Журналы безопасности Windows показывают, что файл avtar.exe получает доступ к каждому профилю пользователя на клиенте

Résumé: Журналы безопасности Windows показывают, что файл avtar.exe получает доступ к каждому профилю пользователя на клиенте

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes



Журналы безопасности Windows показывают, что avtar.exe получает доступ к каждому профилю пользователя на клиенте.

Для активных профилей пользователей записи будут выглядеть следующим образом:


Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 


-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe


. Для профилей пользователей с истекшим сроком действия это записи будут выглядеть следующим образом:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.


Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: 
C:\Program Files\avs\bin\avtar.exe

. Для отключенных профилей пользователей записи будут выглядеть следующим образом:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 


Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe


Можно увидеть также следующие записи:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 


Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe


Ниже приведен список общих состояний или подсостояний, которые могут быть обнаружены:
 
Код состояния или подсостояния Описание
0XC000005E В настоящее время отсутствуют доступные серверы входа, которые могли бы обработать запрос на вход.
0xC0000064 Пользователь вошел в систему с ошибочной или неверной учетной записью
0xC000006A Пользователь вошел в систему с ошибочным или неверным паролем
0XC000006D Это связано с неверным именем пользователя или неверной информацией о подлинности
0XC000006E Неизвестное имя пользователя или неверный пароль.
0xC000006F Вход пользователя в систему в неразрешенные часы
0xC0000070 Вход пользователя с неавторизованной рабочей станции
0xC0000071 Вход пользователя с паролем, срок действия которого истек
0xC0000072 Вход пользователя в учетную запись отключен администратором
0XC00000DC Указывает на то, что сервер Sam находился в неверном состоянии для выполнения требуемой операции.
0XC0000133 Часы между DC и другим компьютером слишком рассинхронизированы
0XC000015B Пользователю не предоставлен запрошенный тип входа в систему (права входа) на этом компьютере
0XC000018C Не удалось выполнить запрос на вход, так как не удалось создать отношение доверия между основным доменом и доверенным доменом.
0XC0000192 Выполнена попытка входа в систему, но служба Netlogon не была запущена.
0xC0000193 Вход пользователя в систему с просроченной учетной записью
0XC0000224 Пользователь должен изменить пароль при следующем входе в систему
0XC0000225 Очевидно, что это ошибка в Windows, а не риск
0xC0000234 Вход пользователя с заблокированной учетной записью
0XC00002EE Причина сбоя: При входе в систему произошла ошибка
0XC0000413 Ошибка входа в систему: Компьютер, на котором выполняется вход, защищен брандмауэром с проверкой подлинности. Указанной учетной записи не разрешено проходить проверку подлинности на компьютере.
Полный список см. на сайте http://errorco.de/win32/ntstatus-h/

Эти записи будут отображаться в журнале безопасности для каждого профиля пользователя на клиентском компьютере при каждом запуске резервного копирования.

Cause

 В конце каждого резервного копирования процесс avtar собирает информацию о каждом профиле на клиенте.

В журнале avtar можно найти следующую строку (обратите внимание, число зависит от количества профилей):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles


Сбор профилей выполняется в конце каждого сеанса avtar на компьютере с ОС Windows.  Это означает, что он будет происходить не только в конце процесса резервного копирования файловой системы Windows (avtar), но и каждый раз, когда подключаемый модуль порождает процесс avtar.exe.  Таким образом, если резервное копирование Windows VSS порождает 3 процесса avtar для резервного копирования различных томов, профили будут собраны 3 раза.

Сбор профилей включен по умолчанию, но используется только для восстановлений DTLT.  Для каждого профиля пользователя avtar получает все группы, к которым принадлежит пользователь, чтобы определить, является ли пользователь локальным администратором.  Эта информация используется для определения файлов, которые вошедший в систему пользователь может просматривать и восстанавливать с помощью веб-интерфейса DTLT.

Résolution

Хотя эти записи безопасности можно игнорировать, сбор профилей можно отключить на клиентах Windows Server.  Сбор не следует отключать на настольных компьютерах или ноутбуках, если используется веб-интерфейс DTLT.

Обратитесь в службу поддержки Avamar за помощью в отключении сбора профилей.

Produits concernés

Avamar

Produits

Avamar, Avamar Client, Avamar Client for Windows
Propriétés de l’article
Numéro d’article: 000054866
Type d’article: Solution
Dernière modification: 01 mars 2021
Version:  3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.