Windows-beveiligingslogboeken geven aan dat avtar.exe toegang heeft tot elk gebruikersprofiel op een client

Windows-beveiligingslogboeken geven aan dat avtar.exe toegang heeft tot elk gebruikersprofiel op een client.

Voor actieve gebruikersprofielen zien de vermeldingen er als volgt uit:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

Voor verlopen gebruikersprofielen ziet het er als volgt uit:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Voor uitgeschakelde gebruikersprofielen ziet het er als volgt uit:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Vermeldingen zoals de volgende zijn ook te zien:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Hieronder ziet u een lijst met veelvoorkomende statussen en substatussen die kunnen worden aangetroffen.
 

Status\Substatus-code	Beschrijving
0XC000005E	Er zijn momenteel geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag uit te voeren.
0xC0000064	Gebruikersaanmelding met een verkeerd gespeld of een onjuist gebruikersaccount
0xC000006A	Gebruikersaanmelding met een verkeerd gespeld of een onjuist wachtwoord
0XC000006D	Dit komt door een onjuiste gebruikersnaam of authenticatiegegevens.
0XC000006E	Onbekende gebruikersnaam of onjuist wachtwoord.
0xC000006F	Gebruikersaanmelding buiten geautoriseerde uren
0xC0000070	Gebruikersaanmelding vanaf onbevoegd werkstation
0xC0000071	Gebruikersaanmelding met verlopen wachtwoord
0xC0000072	Gebruikersaanmelding op een account dat door de administrator is uitgeschakeld
0XC00000DC	Geeft aan dat de SAM-server zich in de verkeerde staat bevond om de gewenste bewerking uit te voeren.
0XC0000133	Klokken tussen DC en andere computer lopen niet synchroon
0XC000015B	De gebruiker heeft op deze computer niet het aangevraagde aanmeldingstype (ofwel aanmeldingsrecht) gekregen.
0XC000018C	Het aanmeldingsverzoek is mislukt omdat de vertrouwensrelatie tussen het primaire domein en het vertrouwde domein is verbroken.
0XC0000192	Er is een poging gedaan om aan te melden, maar de Netlogon-service is niet gestart.
0xC0000193	Gebruikersaanmelding met verlopen account
0XC0000224	Gebruiker is verplicht om wachtwoord bij volgende aanmelding te wijzigen
0XC0000225	Blijkbaar een bug in het Windows en geen risico
0xC0000234	Gebruikersaanmelding met account vergrendeld
0XC00002EE	Reden van mislukking: Er is een fout opgetreden tijdens het aanmelden
0XC0000413	Aanmeldingsfout: De computer waarop u zich aanmeldt, wordt beschermd door een authenticatiefirewall. Het opgegeven account mag niet worden geverifieerd bij de computer.

Zie voor een volledige lijst: http://errorco.de/win32/ntstatus-h/

Deze vermeldingen zijn te vinden in het beveiligingslogboek voor elk gebruikersprofiel op de clientcomputer telkens wanneer de back-up wordt uitgevoerd.

 Aan het einde van elke back-up verzamelt het avtar-proces informatie over elk profiel op de client.

In het avtar-logboek kunt u de volgende regel vinden. (Merk op dat het aantal afhankelijk is van het aantal profielen):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Dit verzamelen van profielen gebeurt aan het einde van elke avtar-sessie op een Windows-computer.  Dit betekent dat dit niet alleen gebeurt aan het einde van een back-up van het Windows-bestandssysteem (avtar), maar ook elke keer dat een plug-in een avtar.exe-proces voortbrengt.  Dus als een Windows VSS-back-up drie avtar-processen genereert om een back-up te maken van verschillende volumes, worden de profielen drie keer verzameld.

Deze profielverzameling is standaard ingeschakeld, maar wordt alleen gebruikt voor DTLT-herstelbewerkingen.  Voor elk gebruikersprofiel verkrijgt avtar alle groepen waartoe de gebruiker behoort om te bepalen of de gebruiker een lokale administrator is.  Deze informatie wordt gebruikt om te bepalen welke bestanden de aangemelde gebruiker kan zien en terugzetten met behulp van de DTLT-webinterface.

Hoewel deze beveiligingsvermeldingen veilig kunnen worden genegeerd, kan het verzamelen van profielen worden uitgeschakeld op Windows Server-clients.  Het mag niet worden uitgeschakeld op desktops of laptops als de DTLT-webinterface wordt gebruikt.

Neem contact op met Avamar Support voor hulp bij het uitschakelen van het verzamelen van profielen.