Недавно мы начали наблюдать явление, когда любая машина, на которой запущен Microsoft Teams (версия Office 365 E3), с высокой частотой выдает событие 4673, что указывает на неудачную попытку использования seProfileSingleProcessPrivilege. Подсчитав эти записи за одну случайную секунду, я увидел 120. Объем этих сбоев аудита приводит к тому, что журнал безопасности заполняется и перезаписывается так быстро, что никакая ценная информация не может быть сохранена.
Согласно политике, мы проводим аудит как успеха, так и неудачи в использовании привилегий, поэтому отключение аудита не является вариантом. Предоставление привилегий всем пользователям также кажется плохой практикой безопасности.
Я не вижу обсуждений этой проблемы, поэтому мне интересно, одиноки ли мы с этим симптомом.
Я не могу объяснить, почему Teams пытается предоставить себе такую привилегию.
Мы не нашли никаких признаков взлома и установили команды на новый ноутбук, и видим этот симптом.
Я был бы рад услышать любые идеи о том, как убедить Teams прекратить подобное поведение.
решение1
Мы открыли дело в службе поддержки Microsoft. Они немного покопались и обнаружили, что Teams написан на основе Chromium. Chromium — этовызов QueryWorkingSetEx. Неясно, почему это интересно, но QueryWorkingSetEx требует seProfileSingleProcessPrivilege. Неясно, QueryWorkingSetEx просто терпит неудачу или делает что-то интересное, даже если не может включить привилегию. Microsoft все еще рассматривает это в настоящее время.
Обновление 19.01.2023 — Microsoft закрыла дело по этому поводу без каких-либо действий. Они могли бы обновить Chromium, чтобы смягчить это поведение. Они решили этого не делать. Их категорически не волнует эта проблема, и их официальной рекомендацией было прекратить регистрировать ошибку.
решение2
Я не думаю, что вы можете что-либо сделать со своей стороны, кроме как временно прекратить аудит использования привилегий (что, на мой взгляд, в любом случае бесполезно, поскольку просто создает шум) и, возможно, увеличить журнал событий безопасности.
Поскольку эта привилегия используется для мониторинга производительности, и вы только недавно обнаружили ее, похоже, что она была добавлена в недавнем обновлении Teams. Похоже на ошибку в программном обеспечении, когда, возможно, разработчик что-то профилировал и забыл это убрать.
Было бы интересно посмотреть, делают ли то же самое старые версии Teams, если у вас есть компьютеры со старой версией.