Microsoft Teams заполняет журнал безопасности с помощью seProfileSingleProcessPrivilege

Question

Microsoft Teams заполняет журнал безопасности с помощью seProfileSingleProcessPrivilege

Недавно мы начали наблюдать явление, когда любой компьютер, на котором работает Microsoft Teams (версия Office 365 E3), с высокой частотой генерирует событие 4673, что указывает на неудачную попытку использовать seProfileSingleProcessPrivilege. Подсчитав эти записи за одну случайную секунду, я увидел 120. Объем этих ошибок аудита приводит к тому, что журнал безопасности заполняется и перезаписывается так быстро, что никакая ценная информация не может быть сохранена.

В соответствии с политикой мы проверяем как успехи, так и неудачи использования привилегий, поэтому отключить аудит невозможно. Предоставление привилегий всем пользователям также кажется плохой практикой безопасности.

Я не вижу болтовни по этому поводу, поэтому мне интересно, одиноки ли мы с этим симптомом.

Я не могу объяснить, почему Teams пытается предоставить себе эту привилегию.

Мы не можем найти никаких признаков компрометации, установили команды на новый ноутбук и видим этот симптом.

Мне бы хотелось услышать любые идеи о том, как убедить Teams прекратить такое поведение.

2

windows-event-log microsoft-teams

Источник

Prof Von Lemongargle 16 ноя '22 в 14:38

2 ответа

Другие вопросы по тегам windows-event-log microsoft-teams

Prof Von Lemongargle 05 дек '22 в 22:10 2022-12-05 22:10 · Answer 1 · 2022-12-05 22:10

Мы открыли дело в службе поддержки Microsoft. Покопались немного и обнаружили, что Teams написан поверх Chromium. Chromium вызывает QueryWorkingSetEx . Непонятно, чем это интересно, но QueryWorkingSetEx требует seProfileSingleProcessPrivilege. Неясно, происходит ли сбой QueryWorkingSetEx или он делает что-то интересное, даже если не может активировать эту привилегию. В настоящее время Microsoft все еще проводит проверку.

Обновление от 19 января 2023 г. — Microsoft закрыла дело по этому поводу без каких-либо действий. Они могли бы обновить Chromium, чтобы устранить такое поведение. Они решили не делать этого. Их категорически не волнует эта проблема, и их официальная рекомендация заключалась в том, чтобы прекратить регистрацию ошибки.

Lucky Luke 17 ноя '22 в 04:42 2022-11-17 04:42 · Answer 2 · 2022-11-17 04:42

Я не думаю, что вы можете что-то сделать со своей стороны, кроме как временно прекратить аудит использования привилегий (что, ИМХО, в любом случае в значительной степени бесполезно, поскольку оно просто создает шум) и, возможно, увеличить журнал журнала событий безопасности.

Поскольку эта привилегия используется для мониторинга производительности, и вы только недавно обнаружили ее, похоже, она была добавлена в недавнем обновлении Teams. Это похоже на ошибку в программном обеспечении: возможно, разработчик что-то профилировал и забыл это удалить.

Было бы интересно посмотреть, делают ли старые версии Teams то же самое, если у вас есть компьютеры со старой версией.