Журналы безопасности Windows показывают, что файл avtar.exe получает доступ к каждому профилю пользователя на клиенте

Журналы безопасности Windows показывают, что avtar.exe получает доступ к каждому профилю пользователя на клиенте.

Для активных профилей пользователей записи будут выглядеть следующим образом:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

. Для профилей пользователей с истекшим сроком действия это записи будут выглядеть следующим образом:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

. Для отключенных профилей пользователей записи будут выглядеть следующим образом:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Можно увидеть также следующие записи:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Ниже приведен список общих состояний или подсостояний, которые могут быть обнаружены:
 

Код состояния или подсостояния	Описание
0XC000005E	В настоящее время отсутствуют доступные серверы входа, которые могли бы обработать запрос на вход.
0xC0000064	Пользователь вошел в систему с ошибочной или неверной учетной записью
0xC000006A	Пользователь вошел в систему с ошибочным или неверным паролем
0XC000006D	Это связано с неверным именем пользователя или неверной информацией о подлинности
0XC000006E	Неизвестное имя пользователя или неверный пароль.
0xC000006F	Вход пользователя в систему в неразрешенные часы
0xC0000070	Вход пользователя с неавторизованной рабочей станции
0xC0000071	Вход пользователя с паролем, срок действия которого истек
0xC0000072	Вход пользователя в учетную запись отключен администратором
0XC00000DC	Указывает на то, что сервер Sam находился в неверном состоянии для выполнения требуемой операции.
0XC0000133	Часы между DC и другим компьютером слишком рассинхронизированы
0XC000015B	Пользователю не предоставлен запрошенный тип входа в систему (права входа) на этом компьютере
0XC000018C	Не удалось выполнить запрос на вход, так как не удалось создать отношение доверия между основным доменом и доверенным доменом.
0XC0000192	Выполнена попытка входа в систему, но служба Netlogon не была запущена.
0xC0000193	Вход пользователя в систему с просроченной учетной записью
0XC0000224	Пользователь должен изменить пароль при следующем входе в систему
0XC0000225	Очевидно, что это ошибка в Windows, а не риск
0xC0000234	Вход пользователя с заблокированной учетной записью
0XC00002EE	Причина сбоя: При входе в систему произошла ошибка
0XC0000413	Ошибка входа в систему: Компьютер, на котором выполняется вход, защищен брандмауэром с проверкой подлинности. Указанной учетной записи не разрешено проходить проверку подлинности на компьютере.

Полный список см. на сайте http://errorco.de/win32/ntstatus-h/

Эти записи будут отображаться в журнале безопасности для каждого профиля пользователя на клиентском компьютере при каждом запуске резервного копирования.

 В конце каждого резервного копирования процесс avtar собирает информацию о каждом профиле на клиенте.

В журнале avtar можно найти следующую строку (обратите внимание, число зависит от количества профилей):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Сбор профилей выполняется в конце каждого сеанса avtar на компьютере с ОС Windows.  Это означает, что он будет происходить не только в конце процесса резервного копирования файловой системы Windows (avtar), но и каждый раз, когда подключаемый модуль порождает процесс avtar.exe.  Таким образом, если резервное копирование Windows VSS порождает 3 процесса avtar для резервного копирования различных томов, профили будут собраны 3 раза.

Сбор профилей включен по умолчанию, но используется только для восстановлений DTLT.  Для каждого профиля пользователя avtar получает все группы, к которым принадлежит пользователь, чтобы определить, является ли пользователь локальным администратором.  Эта информация используется для определения файлов, которые вошедший в систему пользователь может просматривать и восстанавливать с помощью веб-интерфейса DTLT.

Хотя эти записи безопасности можно игнорировать, сбор профилей можно отключить на клиентах Windows Server.  Сбор не следует отключать на настольных компьютерах или ноутбуках, если используется веб-интерфейс DTLT.

Обратитесь в службу поддержки Avamar за помощью в отключении сбора профилей.