O Windows Server estava passando por alguns problemas que causavam congelamentos e reinicializações. Esses problemas surgiram com a instalação das atualizações do Windows Server lançadas durante o Patch Tuesday do mês passado. No entanto, agora a Microsoft corrigiu esse problema.
Problema corrigido no Windows Server
Ontem, David Fisher, gerente de produto principal da Microsoft, disse:
Depois de instalar a atualização de novembro de 2022/Out of Band em seus controladores de domínio, você pode ter um vazamento de memória ocorrendo no LSASS.exe (Local Security Authority Subsystem Service)”, acionando o desempenho do controlador de domínio, falhas operacionais e/ou problemas de confiabilidade.
Ele completou que, caso você já tenha corrigido seus controladores de domínio, a atualização de segurança de 13 de dezembro de 2022 deve resolver o vazamento de memória conhecido que está acontecendo no LSASS.exe neste momento.
O LSASS
O LSASS aplica as políticas de segurança do Windows e controla os logins dos usuários. Se ele travar, os usuários conectados perdem imediatamente o acesso às contas do Windows na máquina após a exibição de um erro de reinicialização seguido de uma reinicialização do sistema.
O problema foi reconhecido pela Microsoft no final de novembro, duas semanas após a emissão das atualizações, dizendo que afeta várias versões do Windows Server, incluindo Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2.
Na ocasião, inclusive, a empresa também acrescentou que as atualizações fora de banda do Windows enviadas para resolver problemas de autenticação nos controladores de domínio do Windows também podem ser afetadas.
Solução alternativa também disponível
Para administradores que ainda precisam instalar as atualizações do Patch Tuesday de dezembro de 2022, a Microsoft também fornece uma solução temporária para contornar a instabilidade do controlador de domínio em seus ambientes. A solução alternativa requer que os administradores definam a chave de registro KrbtgtFullPacSignature como 0 usando o seguinte comando: reg add “HKLM\System\CurrentControlSet\services\KDC” -v “KrbtgtFullPacSignature” -d 0 -t REG_DWORD.
Depois de aplicar os patches deste mês para resolver os problemas do controlador de domínio, os administradores precisam editar a chave do registro para um valor mais alto. De acordo com a empresa, depois que esse problema conhecido for resolvido, você deve definir KrbtgtFullPacSignature para uma configuração mais alta, dependendo do que seu ambiente permitir.
Recomenda-se habilitar o modo Enforcement assim que seu ambiente estiver pronto. Para obter mais informações sobre esta chave de registro, consulte KB5020805 : Como gerenciar alterações de protocolo Kerberos relacionadas a CVE-2022-37967.
Microsoft
