最近,我們開始看到一種現象,任何執行 Microsoft Teams(office 365 E3 版本)的電腦都會高頻率發出事件 4673,這表示嘗試使用 seProfileSingleProcessPrivilege 失敗。隨機數一秒這些條目,我發現有 120 個。
根據策略,我們會審核權限使用的成功和失敗,因此關閉審核不是選項。向所有使用者授予權限似乎也是一種糟糕的安全實踐。
我沒有看到關於這個問題的討論,所以我想知道我們是否唯一有這種症狀。
我無法解釋為什麼 Teams 會嘗試向自己授予此特權。
我們找不到任何妥協的跡象,並在新的筆記型電腦上安裝了團隊並看到了此症狀。
我很想聽聽有關如何說服 Teams 停止這種行為的任何想法。
答案1
我們向 Microsoft 支援立案。他們進行了一些挖掘,發現 Teams 是在 Chromium 之上編寫的。鉻是呼叫 QueryWorkingSetEx。目前尚不清楚為什麼這很有趣,但 QueryWorkingSetEx 需要 seProfileSingleProcessPrivilege。目前還不清楚 QueryWorkingSetEx 是否只是失敗了,或者即使它無法啟用該權限,它是否做了一些有趣的事情。微軟目前仍在審核中。
2023 年 1 月 19 日更新 - Microsoft 已結案,但未採取任何行動。他們可以更新 Chromium 以減輕這種行為。他們選擇不這樣做。他們堅決不關心這個問題,他們的官方建議是停止記錄錯誤。
答案2
我認為除了暫時停止審核特權使用(恕我直言,這基本上沒什麼用,因為它只會產生噪音)並可能增加安全事件日誌的日誌之外,您沒有什麼可以做的。
由於此權限用於效能監控,並且您最近才發現它,因此似乎這是在最近的 Teams 更新中添加的。這聽起來像是軟體中的錯誤,可能開發人員正在分析某些內容,但他們忘記將其刪除。
如果您有一些裝有舊版本的計算機,那麼看看舊版本的 Teams 是否會做同樣的事情會很有趣。