Die Installation des Patches von Microsoft vom 11. Januar 2022 (KB5009624) führt zum Absturz von Windows Server während der Initiierung des Benutzer-Anmeldeinformations-AgentsID

Nach der Installation des Patches von Microsoft vom 11. Januar 2022 (KB5009624 ) kann Windows Server während der Initiierung des Benutzer-Anmeldeinformations-AgentsID abstürzen.

• Benutzer- Anmeldeinformationsagent, der auf der Windows Server-VersionID installiert ist;

  • WindowsServer 2012

  • Windows Server 2012 R2

  • Windows Server 2016

Um Anmeldeinformationen zu sammeln, muss der Agent zum Schutz vor Anmeldeinformationen vor Phishing ein Handle für LSASS die Anwendung auf dem Windows-Server abrufen. Dieses Problem tritt auf, wenn UaCredService versucht, ein Handle für LSASS eine Anwendung mit Berechtigungen zum Ändern des Speichers abzurufen.

Wenn dieses Problem auftritt, zeigen die Anwendungsereignisprotokolle auf dem Windows-Server einen Fehler an, der sich auf die LSASS Anwendung bezieht, wie unten gezeigt.  

(Um Anwendungsereignisprotokolle anzuzeigen, öffnen Sie die Systemsteuerung, wählen Sie System und Sicherheit aus, und wählen Sie dann im Abschnitt Verwaltung die Option Ereignisprotokolle anzeigen aus. Das Fenster Ereignisanzeige wird geöffnet. Navigieren Sie in der Konsolenstruktur zu Windows-Protokolle und dann zu Anwendung.

Anwendungsereignisprotokolle

A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.

02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------
02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0.
02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info.
02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21.
02/11/22 14:09:17:621 [ Info 392]: Product version is 1.
02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created.
02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying
02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed.
02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials.
02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.

Unsere Untersuchung des Problems ergab, dass die Hauptursache dieses Problems eine Änderung der Betriebssysteme Windows Server 2012, Windows Server 2012 R2 und Windows Server 2016 war, die in den Patches vom Januar 2022 enthalten sind. Wir konnten einen Weg finden, um das Problem zu beheben, das ein Upgrade auf Windows Server 2019 erfordert.

Um dieses Problem zu beheben, muss ein Administrator den Agent, auf dem der Agent zum Schutz vor Phishing für Anmeldeinformationen installiert ist, auf Windows Server 2019 aktualisieren RODC und einen der neu veröffentlichten Agents installieren.

Die neu veröffentlichten Wirkstoffe sind:

• 10.2.1
• 10.1.1
• 10.0.6
• 9.1.4

• So beheben Sie das Problem:
  • Derjenige RODC , auf dem der Agent zum Schutz vor Phishing für Anmeldeinformationen installiert ist, muss auf Windows Server 2019 aktualisiert werden
  • Eine der neuen Versionen des Agents zum Schutz vor Phishing für Anmeldeinformationen muss installiert sein:
    • 10.2.1
    • 10.1.1
    • 10.0.6
    • 9.1.4
• Wenn Sie Ihre Server nicht auf Windows Server 2019 aktualisieren können, können Sie
  • Rollback-Patches, die ab Januar 2022 unter Windows Server 2012, Windows Server 2012 R2 und Windows Server 2016 veröffentlicht wurden.
  • Verwenden Sie eine der beiden anderen verfügbaren Methoden zum Schutz vor Phishing von Anmeldeinformationen.
    • Gruppenzuordnung
    • IP User Mapping