安装 Microsoft 的 2022 年 1 月 11 日补丁 (KB5009624) 导致 Windows Server 在 User-ID凭证代理启动
13159
Created On 09/20/22 17:05 PM - Last Modified 03/24/23 07:29 AM
Symptom
安装 Microsoft 的 2022 年 1 月 11 日补丁后( KB5009624 ), Windows Server 可能会在 User-ID凭证代理启动。
Environment
用户-ID Windows Server 版本上安装的 Credential Agent;
视窗服务器 2012
Windows 服务器 2012 R2
视窗服务器 2016
Cause
要收集凭据,Credential Phishing Prevention 代理需要获取一个句柄以LSASSWindows 服务器上的应用程序。 当 UaCredService 试图获取句柄时会出现此问题LSASS具有修改其内存权限的应用程序。
发生此问题时,Windows Server 上的应用程序事件日志将显示与以下内容相关的错误LSASS如下所示的应用程序。
(要查看应用程序事件日志,请打开控制面板,选择系统和安全,然后在管理工具部分中选择查看事件日志。 事件查看器窗口打开。 在控制台树中,导航到 Windows 日志,然后导航到应用程序).
应用程序事件日志
A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.
发生此问题时,Windows Server 上的 CredentialAgent 调试日志将显示类似于下图所示的错误。
(你可以找到UaCred调试日志在该位置C:\Program Files\Palo Alto Networks\User-ID凭证代理。 )
UaCred调试日志
02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------ 02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0. 02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info. 02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21. 02/11/22 14:09:17:621 [ Info 392]: Product version is 1. 02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created. 02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified. ) 02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying 02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified. ) 02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed. 02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials. 02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.
Resolution
我们对该问题的调查确定,此问题的根本原因是 2022 年 1 月补丁中包含的 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 操作系统发生了变化。 我们能够确定解决需要升级到 Windows Server 2019 的问题的前进道路。
要解决此问题,管理员需要升级RODC凭据网络钓鱼防护代理安装到 Windows Server 2019 上并安装新发布的代理之一。
新发布的代理有:
- 10.2.1
- 10.1.1
- 10.0.6
- 9.1.4
概括
- 要解决此问题:
- 这RODC安装了凭据网络钓鱼防护代理的服务器必须升级到 Windows Server 2019
- 必须安装 Credential Phishing Prevention 代理的新版本之一:
- 10.2.1
- 10.1.1
- 10.0.6
- 9.1.4
- 如果您无法将服务器升级到 Windows Server 2019,您可以
- 2022 年 1 月或之后在 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上发布的回滚补丁。
- 使用其他两个可用之一凭据网络钓鱼预防方法
- 组映射
- IP 用户映射