Dzienniki zabezpieczeń systemu Windows wskazują, że avtar.exe ma dostęp do każdego profilu użytkownika na kliencie

Dzienniki zabezpieczeń systemu Windows wskazują, że avtar.exe ma dostęp do każdego profilu użytkownika na kliencie.

W przypadku aktywnych profili użytkowników wpisy będą wyglądały następująco:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

W przypadku wygasłych profili użytkowników będzie to wyglądać następująco:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

W przypadku wyłączonych profili użytkowników będzie to wyglądać następująco:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Mogą być też wyświetlane następujące wpisy:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

Poniżej znajduje się lista najczęściej występujących stanów/podstanów:
 

Kod stanu/podstanu	Opis
0XC000005E	Nie ma obecnie serwerów logowania dostępnych do obsługi żądania logowania.
0xC0000064	Próba logowania przy użyciu nieprawidłowej nazwy konta użytkownika
0xC000006A	Próba logowania przy użyciu nieprawidłowego hasła
0XC000006D	Jest to spowodowane nieprawidłową nazwą użytkownika lub informacją uwierzytelniającą
0XC000006E	Nieznana nazwa użytkownika lub nieprawidłowe hasło.
0xC000006F	Próba logowania poza dozwolonymi godzinami
0xC0000070	Próba logowania z nieautoryzowanej stacji roboczej
0xC0000071	Próba logowania przy użyciu nieaktualnego hasła
0xC0000072	Próba zalogowania na konto zablokowana przez administratora
0XC00000DC	Wskazuje, że serwer Sam znajdował się w stanie nieodpowiednim do wykonania żądanej operacji.
0XC0000133	Zegary komputera DC i drugiego komputera są zbyt rozbieżne
0XC000015B	Użytkownikowi nie przyznano żądanego typu logowania (tj. prawa do logowania) na tym komputerze
0XC000018C	Żądanie logowania nie powiodło się z powodu błędu w relacji zaufania między główną a zaufaną domeną.
0XC0000192	Podjęto próbę logowania, ale usługa Netlogon nie została uruchomiona.
0xC0000193	Próba zalogowania na wygasłe konto
0XC0000224	Użytkownik musi zmienić hasło podczas następnego logowania
0XC0000225	Najwyraźniej jest to błąd w systemie Windows, a nie zagrożenie
0xC0000234	Próba zalogowania na zablokowane konto
0XC00002EE	Przyczyna niepowodzenia: Podczas logowania wystąpił błąd
0XC0000413	Niepowodzenie logowania: Komputer, na którym się logujesz, jest chroniony przez zaporę z uwierzytelnianiem. Podane konto nie jest uprawnione do uwierzytelniania na komputerze.

Pełna lista znajduje się na stronie http://errorco.de/win32/ntstatus-h/

Podane wpisy będzie można znaleźć w dzienniku zabezpieczeń dla każdego profilu użytkownika na komputerze klienta przy każdym tworzeniu kopii zapasowej.

 Po każdorazowym zakończeniu tworzenia kopii zapasowej proces avtar zbiera informacje o każdym profilu w kliencie.

W dzienniku procesu avtar można znaleźć następujący wiersz (uwaga: liczba może różnić się w zależności od liczby profili):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

Zbieranie profili odbywa się na końcu każdej sesji avtar na komputerze z systemem Windows.  Oznacza to, że operacja będzie mieć miejsce nie tylko pod koniec tworzenia kopii zapasowej systemu plików Windows (avtar), ale także po każdym wywołaniu procesu avtar.exe przez wtyczkę.  Jeśli więc kopia zapasowa usługi migawek woluminów systemu Windows spowoduje uruchomienie 3 procesów avtar w celu utworzenia kopii zapasowych różnych woluminów, profile zostaną zebrane 3 razy.

Zbieranie profili jest domyślnie włączone, ale jest używane jedynie do przywracania DTLT.  Dla każdego profilu użytkownika avtar pobiera wszystkie grupy, do których należy użytkownik, w celu określenia, czy jest on lokalnym administratorem.  Informacje te są służą do określenia, które pliki zalogowany użytkownik może zobaczyć i przywrócić za pomocą interfejsu sieciowego DTLT.

Te wpisy zabezpieczeń można bezpiecznie zignorować, natomiast zbieranie profili można wyłączyć na klientach systemu Windows Server.  Nie należy go wyłączać na komputerach stacjonarnych i laptopach, jeśli używany jest interfejs sieciowy DTLT.

Aby uzyskać pomoc w wyłączeniu funkcji zbierania profili, prosimy o kontakt z pomocą techniczną Avamar.