La instalación de la revisión del 11 de enero de 2022 de Microsoft (KB5009624) está causando que Windows Server se bloquee durante el inicio del agente de credenciales de usuarioID

Al instalar el parche del 11 de enero de 2022 de Microsoft (KB5009624 ), Windows Server puede bloquearse durante el inicio del agente User-CredentialID .

• User-ID Credential Agent instalado en la versión de Windows Server;

  • Windows Server 2012

  • R2 de Windows Server 2012

  • Windows Server 2016

Para recopilar credenciales, el agente de prevención de suplantación de identidad (phishing) de credenciales debe adquirir un identificador de LSASS aplicación en Windows Server. Este problema se produce cuando UaCredService está intentando adquirir un identificador para la aplicación con permisos para LSASS modificar su memoria.

Cuando se produce este problema, los registros de eventos de aplicación en Windows Server mostrarán un error relacionado con LSASS la aplicación como se muestra a continuación.  

(Para ver los registros de eventos de aplicación, abra el Panel de control, seleccione Sistema y seguridad y, a continuación, en la sección Herramientas administrativas, seleccione Ver registros de eventos. Se abrirá la ventana Visor de eventos. En el árbol de consola, vaya a Registros de Windows y, a continuación, a Aplicación).

Registros de eventos de aplicación

A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.

02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------
02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0.
02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info.
02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21.
02/11/22 14:09:17:621 [ Info 392]: Product version is 1.
02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created.
02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying
02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed.
02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials.
02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.

Nuestra investigación sobre el problema determinó que la causa raíz de este problema era un cambio en el sistema operativo Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016 contenido en los parches de enero de 2022. Pudimos determinar un camino a seguir para abordar el problema que requiere una actualización a Windows Server 2019.

Para resolver este problema, un administrador deberá actualizar el agente de prevención de phishing de credenciales en el RODC que está instalado a Windows Server 2019 e instalar uno de los agentes recién lanzados.

Los agentes recién liberados son:

• 10.2.1
• 10.1.1
• 10.0.6
• 9.1.4

• Para resolver el problema:
  • El RODC dispositivo de prevención de phishing de credenciales debe actualizarse a Windows Server 2019
  • Se debe instalar una de las nuevas versiones del agente de prevención de phishing de credenciales:
    • 10.2.1
    • 10.1.1
    • 10.0.6
    • 9.1.4
• Si no puede actualizar sus servidores a Windows Server 2019, puede
  • Parches de reversión publicados a partir de enero de 2022 en Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016.
  • Usar uno de los otros dos métodos de prevención de phishing de credenciales disponibles
    • Asignación de grupo
    • IP Asignación de usuarios