Windows-sikkerhetslogger indikerer at avtar.exe får tilgang til hver brukerprofil på en klient

Windows-sikkerhetslogger indikerer at avtar.exe får tilgang til hver brukerprofil på en klient.

For aktive brukerprofiler vil oppføringene se slik ut:

Loggnavn:      Sikkerhet
Kilde:        Microsoft-Windows-Security-Auditing
Dato:          5/27/2017 4:00:07 PM
Hendelses-ID:      4648
Oppgavekategori: Pålogging
Nivå:         Informasjon
Nøkkelord:      Overvåking vellykket
Bruker:          N/A
Computer:      CNCSD1C.corp.emc.com
Beskrivelse:
Det ble forsøkt en pålogging med uttrykt legitimasjon.

Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomene: CORP
Påloggings-ID: 0x3e7
Påloggings-GUID: {00000000-0000-0000-0000-000000000000}

Kontoen som eier legitimasjonsbeskrivelsene som ble brukt:
Kontonavn: testuser
Kontodomene: CORP
Påloggings-GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Målserver:
Målservernavn: localhost
Tilleggsinformasjon: localhost

Prosessinformasjon:
Prosess-ID: 0x1544
Prosessnavn: C:\Program Files\avs\bin\avtar.exe 

-----

Loggnavn:      Sikkerhet
Kilde:        Microsoft-Windows-Security-Auditing
Dato:          5/27/2017 4:00:07 PM
Hendelses-ID:      4624
Oppgavekategori: Pålogging
Nivå:         Informasjon
Nøkkelord:      Overvåking vellykket
Bruker:          N/A
Computer:      CNCSD1C.corp.emc.com
Beskrivelse:
Det ble logget på en konto.
 
Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: CNCSD1C$
Kontodomene: CORP
Påloggings-ID: 0x3e7
 
Påloggingstype: 3
 
Ny pålogging:
Sikkerhets-ID: CORP\testuser
Kontonavn: testuser
Kontodomene: CORP
Påloggings-ID: 0x8150fc1
Påloggings-GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Prosessinformasjon:
Prosess-ID: 0x1334
Prosessnavn: C:\Program Files\avs\bin\avtar.exe

For utløpte brukerprofiler vil det se slik ut:

Loggnavn:      Sikkerhet
Kilde:        Microsoft-Windows-Security-Auditing
Dato:          5/27/2017 12:51:58 PM
Hendelses-ID:      4625
Oppgavekategori: Pålogging
Nivå:         Informasjon
Nøkkelord:      Overvåkingsfeil
Bruker:          N/A
Computer:      CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes.

Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomene: INTERNT
Påloggings-ID: 0x3e7
 
Påloggingstype: 3
 
Kontoen pålogging mislyktes for:
Sikkerhets-ID: NULL SID
Kontonavn:                     
Kontodomene:                 
 
Feilinformasjon:
Feilårsak: Den spesifiserte brukerkontoen har utløpt.
Status: 0xc0000193
Delstatus: 0xc0000193
 
Prosessinformasjon:
Oppkallerens prosess-ID:  0xe7c
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe

For deaktiverte brukerprofiler vil det se slik ut:

Loggnavn:      Sikkerhet
Kilde:        Microsoft-Windows-Security-Auditing
Dato:          5/27/2017 12:51:58 PM
Hendelses-ID:      4625
Oppgavekategori: Pålogging
Nivå:         Informasjon
Nøkkelord:      Overvåkingsfeil
Bruker:          N/A
Computer:      CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes. 

Emne:
Sikkerhets-ID: SYSTEM
Kontonavn: W8001DB03$
Kontodomene:  INTERNT
 Påloggings-ID:  0x3e7
 
Påloggingstype: 3
 
Kontoen pålogging mislyktes for:
Sikkerhets-ID:  NULL SID
Kontonavn:                     
Kontodomene:                 
 
Feilinformasjon:
Feilårsak:  Kontoen er deaktivert.
Status: 0xc000006e
Delstatus: 0xc0000072
 
Prosessinformasjon:
Oppkallerens prosess-ID:  0xe7c
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe

Følgende oppføringer kan også vises:

Loggnavn:      Sikkerhet
Kilde:        Microsoft-Windows-Security-Auditing
Dato:          5/27/2017 12:51:58 PM
Hendelses-ID:      4625
Oppgavekategori: Pålogging
Nivå:         Informasjon
Nøkkelord:      Overvåkingsfeil
Bruker:          N/A
Computer:      CNCSD1C.corp.emc.com
Beskrivelse:
Pålogging fra en konto mislyktes. 

Emne:
Sikkerhets-ID: 
Kontonavn: testuser
Kontodomene: CORP
Påloggings-ID: 0x3e7

Påloggingstype: 3

Kontoen pålogging mislyktes for:
Sikkerhets-ID: NULL SID
Kontonavn:        
Kontodomene:        

Feilinformasjon:
Feilårsak:  Det oppsto en feil under pålogging.
Status: 0xc000018b
Delstatus: 0x0

Prosessinformasjon:
Oppkallerens prosess-ID: 0x1544
Oppkallerens prosessnavn: C:\Program Files\avs\bin\avtar.exe

Følgende er en liste over vanlige statuser/delstatuser som kan oppstå:
 

Status-/delstatuskode	Beskrivelse
0XC000005E	Det er ingen tilgjengelige påloggingsservere som kan betjene påloggingsforespørselen.
0xC0000064	Brukerpålogging med feilstavet eller ugyldig brukerkonto
0xC000006A	Brukerpålogging med feilstavet eller ugyldig passord
0XC000006D	Dette skyldes ugyldig brukernavn eller godkjenningsinformasjon
0XC000006E	Ukjent brukernavn eller ugyldig passord.
0xC000006F	Brukerpålogging utenfor autoriserte tider
0xC0000070	Brukerpålogging fra uautorisert arbeidsstasjon
0xC0000071	Brukerpålogging med utløpt passord
0xC0000072	Brukerpålogging til konto er deaktivert av administrator
0XC00000DC	Angir at Sam-serveren ikke var i riktig tilstand for å utføre ønsket operasjon.
0XC0000133	Klokker mellom DC og annen datamaskin er for usynkronisert
0XC000015B	Brukeren har ikke fått innvilget ønsket påloggingstype (dvs. påloggingsrettighet) på denne datamaskinen
0XC000018C	Påloggingsforespørselen mislyktes fordi klareringsforholdet mellom det primære domenet og det klarerte domenet mislyktes.
0XC0000192	Pålogging ble forsøkt, men Netlogon-tjenesten var ikke startet opp.
0xC0000193	Brukerpålogging med utløpt konto
0XC0000224	Brukeren må endre passord ved neste pålogging
0XC0000225	Tilsynelatende en feil i Windows og ikke en risiko
0xC0000234	Brukerpålogging med konto er låst
0XC00002EE	Feilårsak: Det oppsto en feil under pålogging
0XC0000413	Påloggingsfeil: Maskinen du logger deg på, er beskyttet av en godkjenningsbrannmur. Angitt konto tillates ikke å godkjenne mot maskinen.

Hvis du vil se den fullstendige listen, kan du gå til http://errorco.de/win32/ntstatus-h/

Du kan finne disse oppføringene i sikkerhetsloggen for hver brukerprofil på klientmaskinen hver gang sikkerhetskopieringen kjører.

 På slutten av hver sikkerhetskopiering samler avtar-prosessen inn informasjon om alle profilene på klienten.

Du kan se følgende linje i avtar-loggen (vær oppmerksom på at tallet vil variere, avhengig av antallet profiler):

avtar Info <11035>: Reading 14 user profiles (Leser 14 brukerprofiler)
avtar Info <11036>: Done reading user profiles (Ferdig med å lese brukerprofiler)

Denne innsamlingen av profiler utføres på slutten av hver avtar-økt på en Windows-maskin.  Dette betyr at den ikke bare vil utføres på slutten av en sikkerhetskopiering av Windows-filsystemet (avtar), men også hver gang en pluginmodul starter en avtar.exe-prosess.  Hvis en Windows VSS-sikkerhetskopiering starter tre avtar-prosesser for å sikkerhetskopiere ulike volumer, blir profilene samlet inn tre ganger.

Denne profilinnsamlingen er aktivert som standard, men brukes bare for DTLT-gjenopprettinger.  For hver brukerprofil samler avtar inn alle gruppene som brukeren tilhører, for å fastslå om brukeren er en lokal administrator.  Denne informasjonen brukes til å fastslå hvilke filer den påloggede brukeren kan se og gjenopprette ved hjelp av DTLT-webgrensesnittet.

Selv om disse sikkerhetsoppføringene trygt kan ignoreres, kan profilinnsamling deaktiveres på Windows Server-klienter.  Det bør ikke deaktiveres på stasjonære eller bærbare PC-er hvis DTLT-webgrensesnittet brukes.

Kontakt Avamar-støtten hvis du trenger hjelp med å deaktivere profilinnsamling.