Os logs de segurança do Windows indicam que o avtar.exe está acessando todos os perfis de usuário em um client

Os logs de segurança do Windows indicam que o avtar.exe está acessando todos os perfis de usuário em um client.

Para perfis de usuários ativos, as entradas serão semelhantes a estas:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

Para perfis de usuários expirados, as entradas serão semelhantes a estas:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Para perfis de usuários desativados, as entradas serão semelhantes a estas:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Também é possível encontrar entradas como estas:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Esta é uma lista de status/substatus comuns que podem ser identificados:
 

Código de status\substatus	Descrição
0XC000005E	No momento, não há servidores de logon disponíveis para atender à solicitação.
0xC0000064	Login de usuário com conta de usuário inválida ou digitada incorretamente.
0xC000006A	Login de usuário com senha inválida ou digitada incorretamente.
0XC000006D	Isso ocorre devido a um nome de usuário incorreto ou a informações de autenticação inválidas.
0XC000006E	Nome de usuário desconhecido ou senha inválida.
0xC000006F	Logon de usuário fora do horário autorizado.
0xC0000070	Logon de usuário em uma workstation não autorizada.
0xC0000071	Login de usuário com senha expirada.
0xC0000072	Logon de usuário em conta desativada pelo administrador.
0XC00000DC	Indica que o servidor Sam estava no estado incorreto para executar a operação desejada.
0XC0000133	Relógios entre DC e o outro computador estão fora de sincronia.
0XC000015B	O usuário não recebeu o tipo de logon solicitado (também conhecido como direito de logon) nesta máquina.
0XC000018C	A solicitação de logon falhou porque ocorreu falha na relação de confiança entre o domínio primário e o domínio confiável.
0XC0000192	Ocorreu uma tentativa de logon, mas o serviço Netlogon não foi iniciado.
0xC0000193	Login de usuário com conta expirada.
0XC0000224	É obrigatório que o usuário altere a senha no próximo logon.
0XC0000225	Evidentemente, é um bug no Windows, e não um risco.
0xC0000234	Login de usuário com conta bloqueada.
0XC00002EE	Motivo da falha: Ocorreu um erro durante o logon.
0XC0000413	Falha de logon: A máquina em que você está fazendo logon é protegida por um firewall de autenticação. A conta especificada não tem permissão para fazer a autenticação na máquina.

Para obter uma lista completa, consulte http://errorco.de/win32/ntstatus-h/

Essas entradas serão encontradas no log de segurança de todos os perfis de usuário na máquina client sempre que o backup for executado.

 No final de cada backup, o processo avtar coleta informações sobre cada perfil no client.

No log do avtar, é possível encontrar esta linha (é importante destacar que o número varia de acordo com o número de perfis):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Essa coleta de perfis ocorre no final de cada sessão do avtar em uma máquina Windows.  Isso significa que ela ocorrerá no final de um backup do sistema de arquivos do Windows (avtar) e sempre que um plug-in gerar um processo avtar.exe.  Portanto, se um backup do Windows VSS gerar três processos avtar para fazer backup de vários volumes, os perfis serão coletados três vezes.

Essa coleta de perfis é ativada por padrão, mas só é usada para restaurações do DTLT.  Para cada perfil de usuário, o avtar obtém todos os grupos aos quais o usuário pertence para determinar se o usuário é um administrador local.  Essas informações são usadas para determinar quais arquivos o usuário conectado pode ver e restaurar usando a interface Web do DTLT.

Embora essas entradas de segurança possam ser ignoradas com segurança, é possível desativar a coleta de perfis nos clients do Windows Server.  Não se deve desativá-la em desktops ou notebooks se a interface Web do DTLT estiver sendo usada.

Entre em contato com o suporte do Avamar para obter ajuda na desativação da coleta de perfis.