Авамар: VSS Відключення збору профілів користувачів для клієнтів Windows

Журнали "Безпека у Windows" показують, що avtar.exe отримує доступ до всіх профілів користувача в клієнті.

• Для активних профілів користувачів записи виглядають так:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4648
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
A logon was attempted using explicit credentials.

Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
Logon GUID: {00000000-0000-0000-0000-000000000000}

Account Whose Credentials Were Used:
Account Name: testuser
Account Domain: CORP
Logon GUID: {1d662ff0-b57a-9c60-620c-b7f5c70ad1df}

Target Server:
Target Server Name: localhost
Additional Information: localhost

Process Information:
Process ID: 0x1544
Process Name: C:\Program Files\avs\bin\avtar.exe 

-----

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 4:00:07 PM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account was successfully logged on.
 
Subject:
Security ID: SYSTEM
Account Name: CNCSD1C$
Account Domain: CORP
Logon ID: 0x3e7
 
Logon Type: 3
 
New Logon:
Security ID: CORP\testuser
Account Name: testuser
Account Domain: CORP
Logon ID: 0x8150fc1
Logon GUID: {cac983ee-8bf7-3789-896f-c9be1e852ead}
 
Process Information:
Process ID: 0x1334
Process Name: C:\Program Files\avs\bin\avtar.exe

• Для прострочених профілів користувачів це виглядає так:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on.

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain: INTERNAL
Logon ID: 0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason: The specified user account has expired.
Status: 0xc0000193
Sub Status: 0xc0000193
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Для вимкнених профілів користувачів це виглядає так:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: SYSTEM
Account Name: W8001DB03$
Account Domain:  INTERNAL
 Logon ID:  0x3e7
 
Logon Type: 3
 
Account For Which Logon Failed:
Security ID:  NULL SID
Account Name:                     
Account Domain:                 
 
Failure Information:
Failure Reason:  Account currently disabled.
Status: 0xc000006e
Sub Status: 0xc0000072
 
Process Information:
Caller Process ID:  0xe7c
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Також можна побачити такі записи:
   

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/27/2017 12:51:58 PM
Event ID:      4625
Task Category: Logon
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      CNCSD1C.corp.emc.com
Description:
An account failed to log on. 

Subject:
Security ID: 
Account Name: testuser
Account Domain: CORP
Logon ID: 0x3e7

Logon Type: 3

Account For Which Logon Failed:
Security ID: NULL SID
Account Name:        
Account Domain:        

Failure Information:
Failure Reason:  Error occured during Logon.
Status: 0xc000018b
Sub Status: 0x0

Process Information:
Caller Process ID: 0x1544
Caller Process Name: C:\Program Files\avs\bin\avtar.exe

• Нижче наведено список поширених статусів, з якими можна зіткнутися:
   

   
  Status Code	Description
  0XC000005E	There are currently no logon servers available to service the logon request.
  0xC0000064	User logon with misspelled or bad user account
  0xC000006A	User logon with misspelled or bad password
  0XC000006D	This is either due to a bad username or authentication information
  0XC000006E	Unknown user name or bad password.
  0xC000006F	User logon outside authorized hours
  0xC0000070	User logon from unauthorized workstation
  0xC0000071	User logon with expired password
  0xC0000072	User logon to account disabled by administrator
  0XC00000DC	Indicates the Sam Server was in the wrong state to perform the desired operation.
  0XC0000133	Clocks between DC and other computer too far out of sync
  0XC000015B	The user has not been granted the requested logon type (aka logon right) at this machine
  0XC000018C	The logon request failed because the trust relationship between the primary domain and the trusted domain failed.
  0XC0000192	An attempt was made to logon, but the Netlogon service was not started.
  0xC0000193	User logon with expired account
  0XC0000224	User is required to change password at next logon
  0XC0000225	Evidently a bug in Windows and not a risk
  0xC0000234	User logon with account locked
  0XC00002EE	Failure Reason: An Error occurred during Logon
  0XC0000413	Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine.
  
  

Повний список дивіться в розділі Помилка ode ntstatus.h (External Link)
Ці записи знаходяться в журналі безпеки для кожного профілю користувача на клієнтській машині щоразу, коли виконується резервне копіювання.

Наприкінці кожного резервного копіювання процес avtar, породжений плагіном, збирає інформацію для кожного профілю користувача на клієнті.

• У журналі автара можна знайти наступний рядок (зверніть увагу, кількість змінюється в залежності від кількості профілів):

avtar Info <11035>: Reading 14 user profiles
avtar Info <11036>: Done reading user profiles

• Це збирання профілів відбувається наприкінці кожного сеансу avtar на комп'ютері з Windows. Це відбувається не тільки в кінці резервної копії файлової системи Windows (avtar), але й кожного разу, коли інший плагін, наприклад avexvss (Exchange), avsql (SQL), avvss (VSS), породжує avtar.exe процес.
•  Якщо резервна копія Windows VSS викликає три процеси avtar для резервного копіювання різних обсягів, профілі збираються тричі та додаються до часу накладних витрат.
• Хоча збір профілів користувача має бути швидким процесом, у деяких рідкісних випадках, таких як осиротілі записи ідентифікатора безпеки (SID), це займає багато часу, що впливає на продуктивність Avamar. Приклад такого запису, що реєструється:

2017-05-25 04:34:18 avtar Info : Reading 37 user profiles

А через дві години пішли:

2017-05-25 06:50:34 avtar Info : Done reading user profiles

• Збір профілів в кінці резервної копії може навіть завершитися помилкою при виклику "AuthzInitializeContextFromSid":

2023-10-13 09:51:21 avtar Warning <16147>: AuthzInitializeContextFromSid failed: 2

Більш детально про використання цього API у зборі профілів можна знайти за посиланням:

https://learn.microsoft.com/en-us/troubleshoot/sql/reporting-services/call-authzinitializecontextfromsid-api-fails

У таких випадках у деяких SID були відсутні відповідні записи імен користувачів, а avtar завис або не вдавався обробляти ці осиротілі SID. Це може статися під час видалення облікових записів користувачів, але не під час видалення відповідного домашнього каталогу користувача.

Цей збір профілів увімкнено за замовчуванням, але використовується лише для відновлення даних на настільному комп'ютері або ноутбуці (DTLT). Для кожного профілю користувача avtar отримує всі групи, до яких належить користувач, щоб визначити, чи є користувач локальним адміністратором. Ця інформація використовується для визначення того, які файли користувач, що увійшов у систему, може бачити та відновлювати за допомогою веб-інтерфейсу DTLT.

Хоча ці записи безпеки можна безпечно ігнорувати, збір профілів можна вимкнути на клієнтах Windows Server. Його не слід відключати на настільних комп'ютерах або ноутбуках, якщо використовується веб-інтерфейс DTLT. Щоб вимкнути збирання профілів користувача, додайте такий прапорець avtar у файл avtar.cmd на клієнті або пов'язаному наборі даних.

--x05=65536 

З відключенням збору профілів можна впоратися двома способами.

1. Для одного клієнта:
   1. Створіть текстовий файл у C:\Program Files\avs\var під назвою avtar.cmd
   2. У файлі avtar.cmd додайте такий прапорець:

   3. --x05=65536

   4. Це впливає на всі резервні копії на клієнті, оскільки avtar використовує його при кожному запуску.
2. Для кількох клієнтів, які використовують набір даних:
   1. У наборі даних перейдіть на вкладку "Параметри"
   2. Виберіть відповідний тип плагіна з випадаючого списку
   3. Натисніть кнопку "Більше".
      1. Для резервних копій файлової системи Windows:
         1.  У розділі "Введіть атрибут": Введіть x05
         2. У розділі "Введіть значення атрибута" введіть 65536
         3. Потім натисніть кнопку +
      2.  Для всіх інших плагінів Windows:
         1. У розділі "Введіть атрибут": Введіть [avtar]x05
         2. У розділі "Введіть значення атрибута" введіть 65536
         3. Потім натисніть кнопку +
   4. Це потрібно зробити для кожного типу плагіна, який є частиною набору даних, і для кожного набору даних, який призначено групі, членом якої є клієнт.