Protokoly zabezpečení systému Windows ukazují, že soubor avtar.exe přistupuje ke každému uživatelskému profilu v klientovi

Protokoly zabezpečení systému Windows ukazují, že soubor avtar.exe přistupuje ke každému uživatelskému profilu v klientovi.

U aktivních uživatelských profilů budou zápisy vypadat následovně

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

U profilů s vypršenou platností budou výpisy vypadat následovně:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

U zakázaných uživatelských profilů budou výpisy vypadat následovně:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Výpisy mohou vypadat také následovně:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Níže je uveden seznam běžných stavů/dílčích stavů, které se mohou vyskytnout:
 

Kód stavu\dílčího stavu	Popis
0XC000005E	Nyní nejsou k dispozici žádné přihlašovací servery pro vyřízení žádosti o přihlášení.
0xC0000064	Pokus o přihlášení uživatele pomocí chybně zadaného či nesprávného uživatelského účtu.
0xC000006A	Pokus o přihlášení uživatele pomocí chybně zadaného či nesprávného hesla.
0XC000006D	Bylo zadáno špatné uživatelské jméno nebo ověřovací informace
0XC000006E	Neznámé uživatelské jméno nebo chybné heslo.
0xC000006F	Pokus o přihlášení uživatele mimo povolenou dobu.
0xC0000070	Pokus o přihlášení uživatele z neověřené pracovní stanice.
0xC0000071	Pokus o přihlášení uživatele pomocí hesla s vypršenou platností.
0xC0000072	Správce zakázal uživateli přihlásit se k účtu.
0XC00000DC	Server Sam nemohl provést požadovanou operaci, protože byl v chybném stavu.
0xC0000133	Příliš velký rozdíl v času řadiče domény a dalšího počítače
0xC000015B	Uživateli nebyl v tomto počítači udělen požadovaný typ přihlášení (přihlašovací právo).
0xC000018C	Žádost o přihlášení selhala, protože selhal vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou.
0xC0000192	Došlo k pokusu o přihlášení, ale nebyla spuštěna služba Netlogon.
0xC0000193	Pokus o přihlášení uživatele pomocí účtu s vypršenou platností.
0xC0000224	Uživatel musí při příštím přihlášení změnit své heslo.
0xC0000225	Evidentní přítomnost chyby v systému Windows, nikoli riziko.
0xC0000234	Pokus o přihlášení pomocí uzamčeného účtu.
0xC00002EE	Důvod selhání: Při přihlášení došlo k chybě
0xC0000413	Chyba přihlášení: Zařízení, na kterému se snažíte přihlásit, je chráněno ověřovací bránou firewall. Zadaný účet není oprávněn přihlásit se k zařízení.

Úplný seznam naleznete na adrese http://errorco.de/win32/ntstatus-h/.

Tyto položky se zobrazí při každém spuštění zálohování na klientském počítači v protokolu zabezpečení pro každý uživatelský profil.

 Na konci každé zálohy shromažďuje proces avtar informace o každém profilu v klientovi.

V protokolu avtar je uveden následující řádek (upozorňujeme, že číslo se bude lišit v závislosti na počtu profilů):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Sběr profilů probíhá na konci každé relace avtar v počítači se systémem Windows.  To znamená, že k tomu dojde nejen na konci zálohy systému souborů Windows (avtar), ale také pokaždé, když modul plugin vytvoří proces avtar.exe.  Pokud tedy záloha Windows VSS vytvoří 3 procesy avtar pro zálohování různých svazků, profily budou shromážděny 3krát.

Takový sběr profilů je ve výchozím nastavení povolený, používá se však pouze pro obnovení DTLT.  U každého uživatelského profilu získá proces avtar všechny skupiny, do kterých uživatel patří, díky čemuž bude moci určit, zda je uživatel místním správcem.  Pomocí těchto informací lze určit, které soubory může přihlášený uživatel zobrazit a obnovit pomocí webového rozhraní DTLT.

I když lze tyto položky zabezpečení bezpečně ignorovat, lze v klientech systému Windows Server zakázat sběr profilů.  Pokud ve stolních počítačích nebo noteboocích používáte webové rozhraní DTLT, neměli byste tento sběr zakazovat.

Obraťte se na podporu Avamar, která vám se zakázáním sběru profilů pomůže.