微软已经解决了一些域控制器上的 LSASS 内存泄漏问题,该问题导致在安装上个月补丁星期二期间发布的 Windows Server 更新后冻结并重新启动。
“在您的域控制器上安装 2022 年 11 月/带外更新后,您可能会遇到 LSASS.exe(本地安全机构子系统服务)中发生的内存泄漏”,引发域控制器性能、操作故障和/或可靠性问题,如 David微软首席产品经理费舍尔周二表示。
“如果您已经修补了您的域控制器,那么 2022 年 12 月 13 日的安全更新应该可以解决此时 LSASS.exe 中发生的已知内存泄漏。
LSASS 强制执行 Windows 安全策略并处理用户登录。如果它崩溃,登录用户在显示重启错误后立即失去对机器上 Windows 帐户的访问权限,然后系统重启。
Redmond在更新发布两周后的 11 月下旬承认了这个问题,称它影响了多个 Windows Server 版本,包括 Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 SP1 和Windows 服务器 2008 SP2。
当时,该公司还补充说,为解决 Windows 域控制器上的身份验证问题而推出的带外 Windows 更新也可能受到影响。
| 你 | 解决 Rollup 知识库 | 解决安全更新 |
| Windows 服务器 2019 | 5021237 | 不适用 |
| 视窗服务器 2016 | 5021235 | 不适用 |
| Windows 服务器 2012 R2 | 5021294 | 5021296 |
| 视窗服务器 2012 | 5021285 | 5021303 |
| Windows 服务器 2008 R2 | 5021291 | 5021288 |
| 视窗服务器 2008 | 5021289 | 5021293 |
解决方法也可用
对于仍需要安装 2022 年 12 月补丁星期二更新的管理员,Redmond 还提供了一个临时解决方案来解决其环境中域控制器的不稳定问题。
解决方法要求管理员使用以下命令将 KrbtgtFullPacSignature 注册表项(用于控制 CVE-2022-37967 Kerberos 协议更改)设置为 0:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD在应用本月的补丁解决域控制器问题后,管理员必须将注册表项编辑为更高的值。
“一旦这个已知问题得到解决,你应该根据你的环境允许将 KrbtgtFullPacSignature 设置为更高的设置,”微软说。
“建议您在环境准备就绪后立即启用强制模式。有关此注册表项的更多信息,请参阅KB5020805:如何管理与 CVE-2022-37967 相关的 Kerberos 协议更改。”
3 月,微软修复了另一个已知问题,该问题会导致Windows Server 域控制器因 LSASS 崩溃而重启。
11 月,Redmond 发布了紧急带外 (OOB) 更新,以修复域控制器登录失败和其他由上个月的 Patch Tuesday Windows 更新引起的身份验证问题。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软修复了导致冻结、重启的 Windows Server 问题
