최근에는 Microsoft Teams(Office 365 E3 버전)를 실행하는 컴퓨터에서 이벤트 4673이 높은 속도로 발생하는 현상이 나타나기 시작했습니다. 이는 seProfileSingleProcessPrivilege 사용 시도가 실패했음을 나타냅니다. 이러한 항목을 무작위로 1초 동안 세어보니 120개였습니다. 이러한 감사 실패의 양으로 인해 보안 로그가 너무 빨리 채워지고 덮어쓰게 되어 어떤 귀중한 정보도 보관할 수 없게 되었습니다.
정책에 따라 권한 사용에 대한 성공과 실패를 모두 감사하므로 감사를 끄는 것은 선택 사항이 아닙니다. 모든 사용자에게 권한을 부여하는 것도 보안이 좋지 않은 것으로 보입니다.
이 문제에 대한 잡담을 본 적이 없어서 우리만 이런 증상이 나타나는지 궁금합니다.
Teams가 왜 이 권한을 자체적으로 부여하려고 하는지 설명할 수 없습니다.
손상의 징후를 찾을 수 없으며 새 노트북에 팀을 설치했는데 이 증상이 나타납니다.
Teams가 이 동작을 중지하도록 설득하는 방법에 대한 아이디어를 듣고 싶습니다.
답변1
Microsoft 지원에 사례를 열었습니다. 그들은 조금 조사한 결과 Teams가 Chromium 위에 작성되었다는 사실을 발견했습니다. 크롬은QueryWorkingSetEx 호출 중. 이것이 왜 흥미로운지는 확실하지 않지만 QueryWorkingSetEx에는 seProfileSingleProcessPrivilege가 필요합니다. QueryWorkingSetEx가 실패했는지 아니면 권한을 활성화할 수 없더라도 흥미로운 작업을 수행하는지 확실하지 않습니다. Microsoft는 현재도 검토 중입니다.
2023년 1월 19일 업데이트 - Microsoft는 아무런 조치도 취하지 않고 이에 대한 사례를 종료했습니다. 이 동작이 완화되도록 Chromium을 업데이트할 수 있습니다. 그들은 그렇게 하지 않기로 결정했습니다. 그들은 이 문제에 대해 단호하게 관심을 두지 않았으며 공식적인 권장 사항은 오류 기록을 중단하는 것이었습니다.
답변2
권한 사용 감사를 일시적으로 중지하고(IMHO는 소음만 발생시키기 때문에 대체로 쓸모가 없음) 보안 이벤트 로그의 로그를 늘리는 것 외에는 사용자가 할 수 있는 일이 없다고 생각합니다.
이 권한은 성능 모니터링에 사용되는 권한인데 최근에야 발견하셨기 때문에 최근 팀즈 업데이트에서 추가된 것으로 보입니다. 개발자가 무언가를 프로파일링하고 있었는데 그것을 꺼내는 것을 잊어버린 소프트웨어의 버그처럼 들립니다.
이전 버전이 설치된 컴퓨터가 있는 경우 이전 버전의 Teams가 동일한 작업을 수행하는지 확인하는 것이 흥미로울 것입니다.