L'installation du correctif du 11 janvier 2022 de Microsoft (KB5009624) provoque le blocage de Windows Server lors du lancement de l'agent d'ID informations d'identification utilisateur

Lors de l’installation du correctif du 11 janvier 2022 de Microsoft (KB5009624 ), Windows Server peut se bloquer lors de l’initiation de l’agent User-CredentialID .

• User-ID Agent d’informations d’identification installé sur la version Windows Server;

  • Windows Server 2012

  • R2 de Windows Server 2012

  • Windows Server 2016

Pour collecter des informations d’identification, l’agent de prévention du phishing des informations d’identification doit acquérir un handle pour l’application LSASS sur le serveur Windows. Ce problème se produit lorsque UaCredService tente d’acquérir un handle à l’application LSASS avec des autorisations pour modifier sa mémoire.

Lorsque ce problème se produit, les journaux des événements d’application sur le serveur Windows afficheront une erreur liée à l’application LSASS comme indiqué ci-dessous.  

(Pour afficher les journaux des événements d’application, ouvrez le Panneau de configuration, sélectionnez Système et sécurité, puis, dans la section Outils d’administration, sélectionnez Afficher les journaux des événements. La fenêtre de l’Observateur d’événements s’ouvre. Dans l’arborescence de la console, accédez à Journaux Windows, puis Application).

Journaux des événements d’application

A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.

02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------
02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0.
02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info.
02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21.
02/11/22 14:09:17:621 [ Info 392]: Product version is 1.
02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created.
02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying
02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed.
02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials.
02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.

Notre enquête sur le problème a déterminé que la cause première de ce problème était une modification du système d’exploitation Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016 contenu dans les correctifs de janvier 2022. Nous avons pu déterminer la voie à suivre pour résoudre le problème nécessitant une mise à niveau vers Windows Server 2019.

Pour résoudre ce problème, un administrateur devra mettre à niveau l’agent RODC de prévention du phishing des informations d’identification installé sur Windows Server 2019 et installer l’un des agents nouvellement publiés.

Les agents nouvellement libérés sont :

• 10.2.1
• 10.1.1
• 10.0.6
• 9.1.4

• Pour résoudre le problème :
  • Le RODC sur lequel l’agent de prévention de l’hameçonnage des informations d’identification est installé doit être mis à niveau vers Windows Server 2019
  • L’une des nouvelles versions de l’agent de prévention contre l’hameçonnage des informations d’identification doit être installée :
    • 10.2.1
    • 10.1.1
    • 10.0.6
    • 9.1.4
• Si vous ne pouvez pas mettre à niveau vos serveurs vers Windows Server 2019, vous pouvez
  • Restauration des correctifs publiés à partir de janvier 2022 sur Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016.
  • Utilisez l’une des deux autres méthodes de prévention de l’hameçonnage des informations d’identification disponibles
    • Mappage de groupe
    • IP Mappage des utilisateurs