Спецпроекты

Безопасность Техника

Обновление Windows Server вызывает «подвисания» и внезапные перезагрузки

Microsoft сообщила, что после установки ноябрьских обновлений для операционной системы Windows Server может наблюдаться утечка памяти в службе LSASS, которая способна привести к зависанию и перезагрузке серверов, выступающих в роли контроллера домена. Исправление пока недоступно, и конкретные сроки его появления Microsoft не называет. Однако администраторы могут прибегнуть к временному решению.

Контроллеры доменов на Windows в опасности

Установка одного из ноябрьских обновлений на контроллеры домена под управлением операционной системы Windows Server может приводить к возникновению утечек памяти, которые, в свою очередь, вызывают замедление работы машины и ее последующую автоматическую перезагрузку.

Сервис (служба) проверки подлинности локальной системы безопасности LSASS после обновления ОС на сервере, играющим роль контроллера домена, может неконтролируемо потреблять оперативную память.

Соответствующий баг описан в перечне известных проблем обновления KB5019966 от 8 ноября 2022 г. Причем объем потребляемой службой памяти прямо пропорционален нагрузке на машину и продолжительности ее работы без перезагрузки. В результате утечки памяти, вызванной ошибками в LSASS, сервер может перестать отвечать на запросы других компьютеров в сети и даже автоматически перезагрузиться.

Microsoft преподнесла еще один неприятный «сюрприз» администраторам Windows Server

По информации Microsoft, более поздние внеочередные патчи для Windows Server – от 17 и 18 ноября 2022 г. – могут также быть затронуты проблемой.

Проблеме подвержены операционные системы Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1, Windows Server 2008 SP2. Клиентские версии ОС, такие как Windows 10 или 11, багом не затронуты.

Контроллеры домена и LSASS

Контроллер домена – это сервер, управляющий доступом к сетевым ресурсам в пределах одного домена (сегмента сети).

Сервис проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service; LSASS) – подсистема ОС Windows, которая отвечает за реализацию политик в области безопасности. Сервис, в частности, контролирует вход пользователей в систему, изменение пользовательских паролей и обеспечивает создание токенов доступа, а также ведение журнала безопасности Windows.

Служба LSASS является критически важной для работоспособности Windows-машины. В случае сбоя этого сервиса пользователь теряет доступ к учетным записям на компьютере, а ОС автоматически перезапускается, предварительно уведомив о возникшей ошибке, отмечает Bleeping Computer.

Временное решение

Microsoft работает над устранением проблемы и обещает исправить ее в одном из следующих релизов. Конкретную дату «Редмондский гигант» не уточняет.

Администраторам предложено временное решение, которое предполагает установку значения параметра “KrbtgtFullPacSignature” ключа “HKLM\System\CurrentControlSet\services\KDC” системного реестра Windows в 0. Этот параметр имеет отношение к работе механизма аутентификации с использованием сетевого протокола Kerberos.

После выхода ноябрьских патчей пользователи Windows пожаловались на некорректную работу Kerberos в ряде сценариев. Примечательно, что апдейты, в частности, предназначались для закрытия уязвимостей в Kerberos.

«После установки обновлений, выпущенных 8 ноября 2022 г. или позже, на серверах Windows с ролью контроллера домена у вас могут возникать проблемы с аутентифкацией Kerberos, – пояснили тогда в Microsoft. – При возникновении проблемы, вы можете получить ошибку Microsoft-Windows-Kerberos-Key-Distribution-Center с идентификатором Event ID 14 в разделе System журнала событий на вашем контроллере домена».

18 ноября 2022 г. Microsoft выпустила внеочередное обновление, которые, как ожидалось, устранит неполадки в работе Kerberos.

Опасные баги Windows Server

В июле 2020 г. стало известно о том, что в Windows Server с самого момента ее появления в 2003 г. «жила» опасная уязвимость. Она давала возможность злоумышленнику полностью захватить уязвимый сервер под управлением этой ОС. Уязвимость получила название SigRed.

в январе 2020 г. CNews писал об обнаружении опасной «дыры», затронувшей все без исключения версии Windows, выпущенные за последние 24 года. Впервые она появилась еще в Windows NT 4.0, увидевшей свет в 1996 г. Уязвимость касалась динамической библиотеки crypt32.dll, ответственной за сертификаты и функции обмена зашифрованными сообщениями в CryptoAPI.

Дмитрий Степанов

Короткая ссылка