安装 Microsoft 的 2022 年 1 月 11 日补丁 (KB5009624) 导致 Windows Server 在 User-ID凭证代理启动

安装 Microsoft 的 2022 年 1 月 11 日补丁 (KB5009624) 导致 Windows Server 在 User-ID凭证代理启动

8542
Created On 09/20/22 17:05 PM - Last Modified 03/24/23 07:29 AM


Symptom


安装 Microsoft 的 2022 年 1 月 11 日补丁后( KB5009624 ), Windows Server 可能会在 User-ID凭证代理启动。

Environment


  • 用户-ID Windows Server 版本上安装的 Credential Agent;

    • 视窗服务器 2012

    • Windows 服务器 2012 R2

    • 视窗服务器 2016

Cause


要收集凭据,Credential Phishing Prevention 代理需要获取一个句柄以LSASSWindows 服务器上的应用程序。 当 UaCredService 试图获取句柄时会出现此问题LSASS具有修改其内存权限的应用程序。

发生此问题时,Windows Server 上的应用程序事件日志将显示与以下内容相关的错误LSASS如下所示的应用程序。  

(要查看应用程序事件日志,请打开控制面板,选择系统和安全,然后在管理工具部分中选择查看事件日志。 事件查看器窗口打开。 在控制台树中,导航到 Windows 日志,然后导航到应用程序).

 

应用程序事件日志

  
A critical system process, C:\Windows\system32\lsass.exe, failed with status code c0000096. The machine must now be restarted.

 

发生此问题时,Windows Server 上的 CredentialAgent 调试日志将显示类似于下图所示的错误。

(你可以找到UaCred调试日志在该位置C:\Program Files\Palo Alto Networks\User-ID凭证代理。 )
UaCred调试日志
 
02/11/22 14:09:17:618 [ Info 2055]: ------------Service is being started------------
02/11/22 14:09:17:620 [ Info 2062]: Os version is 6.2.0.
02/11/22 14:09:17:620 [ Info 389]: Load debug log level Info.
02/11/22 14:09:17:621 [ Info 247]: Service version is 10.1.0.21.
02/11/22 14:09:17:621 [ Info 392]: Product version is 1.
02/11/22 14:09:17:621 [ Info 313]: Named pipe for UaService created.
02/11/22 14:09:17:621 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:17:622 [Error 423]: Unable to get initial config, retrying
02/11/22 14:09:22:626 [Error 337]: UaService not ready. Unable to fetch config. 2 (The system cannot find the file specified.
)
02/11/22 14:09:33:489 [Error 162]: lsa get handle OpenProcess SamSs failed.
02/11/22 14:09:33:504 [Error 716]: Unable to extract credentials.
02/11/22 14:09:34:735 [Error 162]: lsa get handle OpenProcess SamSs failed.
 

 


  

Resolution


我们对该问题的调查确定,此问题的根本原因是 2022 年 1 月补丁中包含的 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 操作系统发生了变化。 我们能够确定解决需要升级到 Windows Server 2019 的问题的前进道路。

要解决此问题,管理员需要升级RODC凭据网络钓鱼防护代理安装到 Windows Server 2019 上并安装新发布的代理之一。

新发布的代理有:

  • 10.2.1
  • 10.1.1
  • 10.0.6
  • 9.1.4

概括
  • 要解决此问题:
    • 这RODC安装了凭据网络钓鱼防护代理的服务器必须升级到 Windows Server 2019
    • 必须安装 Credential Phishing Prevention 代理的新版本之一:
      • 10.2.1
      • 10.1.1
      • 10.0.6
      • 9.1.4
  • 如果您无法将服务器升级到 Windows Server 2019,您可以
    • 2022 年 1 月或之后在 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 上发布的回滚补丁。
    • 使用其他两个可用之一凭据网络钓鱼预防方法
      • 组映射
      • IP 用户映射
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZCACA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language