最近,我们开始发现一种现象:任何运行 Microsoft Teams(Office 365 E3 版本)的计算机都会以高频率发出事件 4673,表示尝试使用 seProfileSingleProcessPrivilege 失败。随机计算一秒钟的这些条目,我看到了 120 个。这些审核失败的数量导致安全日志如此迅速地填满和覆盖,以至于无法保留任何有价值的信息。
根据政策,我们会审核特权使用的成功和失败,因此关闭审核不是一种选择。授予所有用户特权似乎也是一种糟糕的安全做法。
我没有看到关于这个问题的讨论,所以我想知道我们是否只有这种症状。
我无法解释为什么 Teams 会试图授予自己这种特权。
我们找不到任何妥协的迹象,并在一台新笔记本电脑上安装了团队并看到了这种症状。
我很想听听关于如何说服团队停止这种行为的任何想法。
答案1
我们向 Microsoft 支持部门提交了一个案例。他们进行了一些调查,发现 Teams 是基于 Chromium 编写的。Chromium 是调用 QueryWorkingSetEx。目前尚不清楚为什么这很有趣,但 QueryWorkingSetEx 需要 seProfileSingleProcessPrivilege。目前尚不清楚 QueryWorkingSetEx 是否只是失败了,或者即使无法启用特权,它是否做了一些有趣的事情。微软目前仍在审查。
2023 年 1 月 19 日更新 - 微软未采取任何行动就结案了。他们可以更新 Chromium 以缓解此行为。但他们选择不这样做。他们坚决不关心这个问题,他们的官方建议是停止记录错误。
答案2
我认为您除了暂时停止审核特权使用(在我看来这基本上是无用的,因为它只会产生噪音)并可能增加安全事件日志的日志之外,没有其他可以做的。
由于此权限用于性能监控,而您最近才发现它,因此它似乎是在最近的 Teams 更新中添加的。这听起来像是软件中的一个错误,可能是开发人员在分析某些内容时忘记将其删除。
如果您的几台计算机安装了旧版本,那么看看旧版本的 Teams 是否会做同样的事情会很有趣。