最近、Microsoft Teams (Office 365 E3 バージョン) を実行しているマシンで、seProfileSingleProcessPrivilege の使用に失敗したことを示すイベント 4673 が頻繁に発生するという現象が見られるようになりました。ランダムに 1 秒分を数えてみると、120 件ありました。監査の失敗が大量に発生するため、セキュリティ ログがすぐにいっぱいになり、上書きされてしまうため、貴重な情報を保持できなくなっています。
ポリシーにより、権限の使用の成功と失敗の両方を監査するため、監査をオフにすることはできません。すべてのユーザーに権限を付与することは、セキュリティ対策としても不十分であると思われます。
この問題に関する話題は見かけないので、この症状は私たちだけの問題なのだろうかと思っています。
Teams がなぜこの権限を自身に付与しようとしているのかは説明できません。
侵害の兆候は見つからず、新しいラップトップにチームをインストールしたところ、この症状が発生しました。
Teams にこの動作をやめるよう説得する方法についてのアイデアがあればぜひお聞かせください。
答え1
Microsoftサポートに問い合わせたところ、少し調べたところ、TeamsはChromiumで書かれていることがわかりました。ChromiumはQueryWorkingSetEx を呼び出すこれがなぜ興味深いのかは不明ですが、QueryWorkingSetEx には seProfileSingleProcessPrivilege が必要です。QueryWorkingSetEx が単に失敗するだけなのか、権限を有効にできない場合でも何か興味深いことを行うのかは不明です。Microsoft は現時点ではまだ検討中です。
2023 年 1 月 19 日更新 - Microsoft は、この件について何もせずにケースをクローズしました。Microsoft は、この動作を軽減するために Chromium を更新できましたが、そうしないことを選択しました。Microsoft はこの問題をまったく気にしておらず、エラーのログ記録を停止することを公式に推奨しています。
答え2
特権の使用の監査を一時的に停止し (これはノイズを生成するだけなので、私見では大して役に立たない)、セキュリティ イベント ログのログを増やすこと以外、ユーザー側で実行できることはないと思います。
この権限はパフォーマンス監視に使用され、つい最近発見したばかりなので、最近の Teams アップデートで追加されたようです。開発者が何かをプロファイリングしていて、削除し忘れたソフトウェアのバグのようです。
古いバージョンの Teams がインストールされているコンピューターがある場合、古いバージョンでも同じことが起こるかどうかを確認すると興味深いでしょう。