Vor Kurzem haben wir ein Phänomen festgestellt, bei dem jede Maschine, auf der Microsoft Teams (Office 365 E3-Version) läuft, mit hoher Frequenz das Ereignis 4673 ausgibt, was auf einen fehlgeschlagenen Versuch hinweist, das seProfileSingleProcessPrivilege zu verwenden. Wenn ich eine zufällige Sekunde dieser Einträge zähle, sehe ich 120. Das Volumen dieser Audit-Fehler führt dazu, dass das Sicherheitsprotokoll so schnell gefüllt und überschrieben wird, dass keine wertvollen Informationen erhalten bleiben.
Gemäß unserer Richtlinie prüfen wir Erfolg und Misserfolg bei der Verwendung von Berechtigungen. Daher ist das Deaktivieren der Prüfung keine Option. Allen Benutzern die Berechtigung zu gewähren, scheint ebenfalls eine schlechte Sicherheitspraxis zu sein.
Ich sehe keine Kommentare zu diesem Problem und frage mich daher, ob wir mit diesem Symptom allein sind.
Ich kann nicht erklären, warum Teams versuchen würde, sich selbst dieses Privileg zu gewähren.
Wir können keine Hinweise auf eine Kompromittierung finden und haben Teams auf einem neuen Laptop installiert und sehen dieses Symptom.
Ich würde mich über Ideen freuen, wie man Teams davon überzeugen kann, dieses Verhalten einzustellen.
Antwort1
Wir haben einen Fall beim Microsoft-Support eröffnet. Sie haben ein bisschen nachgeforscht und herausgefunden, dass Teams auf Chromium basiert. Chromium istAufruf von QueryWorkingSetEx. Es ist unklar, warum das interessant ist, aber QueryWorkingSetEx erfordert seProfileSingleProcessPrivilege. Es ist unklar, ob QueryWorkingSetEx einfach fehlschlägt oder ob es etwas Interessantes tut, auch wenn es das Privileg nicht aktivieren kann. Microsoft prüft dies derzeit noch.
Update 19.01.2023 – Microsoft hat den Fall ohne weitere Maßnahmen abgeschlossen. Sie könnten Chromium aktualisieren, damit dieses Verhalten gemildert wird. Sie haben sich dagegen entschieden. Dieses Problem ist ihnen absolut egal und ihre offizielle Empfehlung war, die Protokollierung des Fehlers einzustellen.
Antwort2
Ich glaube nicht, dass Sie von Ihrer Seite aus etwas tun können, außer die Überwachung der Privilegiennutzung vorübergehend zu stoppen (was meiner Meinung nach sowieso weitgehend nutzlos ist, da es nur Lärm verursacht) und möglicherweise das Protokoll des Sicherheitsereignisprotokolls zu erweitern.
Da dieses Privileg zur Leistungsüberwachung verwendet wird und Sie es erst kürzlich entdeckt haben, scheint es, dass es in einem aktuellen Teams-Update hinzugefügt wurde. Es klingt nach einem Fehler in der Software, bei dem ein Entwickler möglicherweise ein Profil erstellt und vergessen hat, es zu entfernen.
Es wäre interessant zu sehen, ob ältere Versionen von Teams dasselbe tun, wenn Sie einige Computer mit einer älteren Version haben.