Dai registri di sicurezza di Windows risulta che avtar.exe sta accedendo a ogni profilo utente presente su un client

Dai registri di sicurezza di Windows risulta che avtar.exe sta accedendo a ogni profilo utente presente su un client.

Per i profili utente attivi, le voci saranno simili alle seguenti:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

Per i profili utente scaduti, le voci saranno simili alle seguenti:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Per i profili utente disabilitati, le voci saranno simili alle seguenti:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

È inoltre possibile che siano indicate le seguenti voci:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Di seguito è riportato un elenco degli stati/stati secondari più comuni che è possibile incontrare:
 

Codice di stato/stato secondario	Descrizione
0XC000005E	Nessun server di accesso disponibile per soddisfare la richiesta di accesso.
0xC0000064	Accesso utente con un account errato o non valido
0xC000006A	Accesso utente con una password errata o non valida
0XC000006D	Nome utente non valido o informazioni di autenticazione non valide
0XC000006E	Nome utente sconosciuto o password non valida.
0xC000006F	Accesso utente al di fuori delle ore autorizzate
0xC0000070	Accesso utente da una workstation non autorizzata
0xC0000071	Accesso utente con una password scaduta
0xC0000072	Accesso utente a un account disabilitato dall'amministratore
0XC00000DC	Server SAM in uno stato errato per eseguire l'operazione desiderata
0XC0000133	Orologi tra DC e altro computer eccessivamente non sincronizzati
0XC000015B	L'utente non dispone del tipo di accesso (diritto di accesso) necessario per il computer
0XC000018C	Richiesta di accesso non riuscita perché la relazione di trust tra il dominio primario e il dominio affidabile è fallita
0XC0000192	È stato effettuato un tentativo di accesso, ma il servizio Netlogon non era avviato
0xC0000193	Accesso utente con un account scaduto
0XC0000224	L'utente deve modificare la password al successivo accesso
0XC0000225	Bug in Windows e non un rischio
0xC0000234	Accesso utente con un account bloccato
0XC00002EE	Motivo dell'errore: si è verificato un errore durante l'accesso
0XC0000413	Errore di accesso: il computer a cui si sta accedendo è protetto da un firewall di autenticazione. L'autenticazione dell'account specificato non è consentita.

Per un elenco completo, vedere http://errorco.de/win32/ntstatus-h/

Queste voci saranno riportate nel registro di sicurezza per ogni profilo utente presente sul computer client ogni volta che viene eseguito il backup.

 Al termine di ogni backup, il processo avtar raccoglie le informazioni di ogni profilo presente sul client.

Nel registro avtar è possibile trovare la seguente riga (notare che il numero variare a seconda del numero di profili):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Questa raccolta dei profili avviene al termine di ogni sessione avtar su un computer Windows.  Ciò significa che avviene non solo alla fine di un backup del file system di Windows (avtar), ma anche ogni volta che un plug-in file genera un processo avtar.exe.  Quindi, se un backup VSS di Windows genera 3 processi avtar per il backup di vari volumi, i profili verranno raccolti 3 volte.

La raccolta dei profili è attivata per impostazione predefinita, ma viene utilizzata solo per i restore DTLT.  Per ogni profilo utente, avtar ottiene tutti i gruppi a cui appartiene l'utente al fine di determinare se l'utente è un amministratore locale.  Queste informazioni vengono utilizzate per individuare i file che l'utente che ha effettuato l'accesso può visualizzare e sottoporre a restore tramite l'interfaccia web DTLT.

Anche se queste voci di sicurezza possono essere ignorate in tutta sicurezza, è possibile disattivare la raccolta dei profili sui client Windows Server.  Non deve essere disabilitata sui desktop o sui notebook se si utilizza l'interfaccia web DTLT.

Contattare il supporto Avamar per informazioni sulla disattivazione della raccolta dei profili.