Você está observando esse comportamento porque o Boletim de Segurança da Microsoft MS16-111 contém uma atualização que alterou a maneira como o Windows lida com objetos de sessão de logon. Agora, qualquer serviço ou aplicativo, da Microsoft ou de terceiros, que vaze tokens de acesso, agora também vaza objetos de sessão de logon.
Você está vazando objetos de sessão de logon sempre que um usuário efetua logoff do sistema e não há nada que você possa fazer a respeito, exceto solicitar que seu fornecedor de serviços ou aplicativos corrija seu código para que ele não escape mais de tokens.