.
As atualizações do Windows Server lançadas como parte do Patch Tuesday deste mês podem fazer com que alguns controladores de domínio parem de funcionar ou reiniciem automaticamente, de acordo com a Microsoft.
O gigante do software empresarial disse que as organizações que instalam KB5019966 ou atualizações posteriores em controladores de domínio (DCs) podem ver um vazamento de memória com o LSASS (Local Security Authority Subsystem Service).
“Dependendo da carga de trabalho de seus controladores de domínio e da quantidade de tempo desde a última reinicialização do servidor, o LSASS pode aumentar continuamente o uso de memória com o tempo de atividade do servidor e o servidor pode parar de responder ou reiniciar automaticamente”, disse a Microsoft. escreveu em seu Painel de Integridade do Windows.
As atualizações fora de banda (OOB) para controladores de domínio lançado 17 e 18 de novembro também podem ser afetados pelo problema.
LSASS é um processo do Windows em um controlador de domínio do Active Directory usado para impor a política de segurança no sistema operacional. Suas tarefas incluem fornecer pesquisas, autenticação e replicação do banco de dados do Active Directory. Ele autentica e verifica os usuários que desejam fazer login em um sistema Windows, gerencia alterações de senha e cria tokens de acesso.
É uma ferramenta cada vez mais importante em um momento em que grupos de ameaças buscam mais identidade para acessar redes corporativas.
O problema afeta as versões do Windows Server 2008 SP2 e R2 SP1, 2012 e 2012 R2, 2016 e 2019.
Os engenheiros da Microsoft estão trabalhando em uma correção que aparecerá como uma atualização em uma versão futura.
Enquanto isso, a empresa está oferecendo uma solução alternativa para os usuários, que podem abrir o prompt de comando como administrador para definir o chave de registro KrbtgtFullPacSignature como “0”.
Depois de abrir o prompt de comando como administrador, eles podem usar o comando:
reg add "HKLMSystemCurrentControlSetservicesKDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
“Depois que esse problema conhecido for resolvido, você deve definir KrbtgtFullPacSignature para uma configuração mais alta, dependendo do que seu ambiente permitir”, escreveu a Microsoft. “Recomenda-se habilitar o modo Enforcement assim que seu ambiente estiver pronto.”
A empresa acrescentou que mais informações sobre a chave dStrong The One podem ser encontradas no Nota do Painel de Integridade do Windowsque está relacionado a problemas da atualização do Patch Tuesday de novembro que impactado o protocolo de autenticação de rede Kerberos no Windows Server com as funções de controlador de domínio de gerenciamento de solicitações de segurança de rede e identidade.
Nesse caso, as atualizações causaram vários problemas, incluindo falhas nos logins de usuários de domínio, falha na autenticação de contas de serviço gerenciadas de grupo e conexões de área de trabalho remota que não se conectam de fato.
Os usuários também não conseguiam acessar pastas compartilhadas em estações de trabalho e conexões de impressora que requerem autenticação de usuário de domínio.
A Microsoft lançou há algumas semanas as atualizações OOB de emergência que os usuários podem instalar em todos os controladores de domínio para corrigir os problemas. ®
.
