Novembra atjauninājumi var izraisīt Windows Server uzkarināšanu un restartēšanu

Pēc Windows Server novembra atjauninājumu instalēšanas LSASS pakalpojumā var rasties atmiņas noplūde, kas galu galā var izraisīt domēna kontrolleru uzkāršanos un atsāknēšanu. LSASS pakalpojums (saīsinājums no Vietējās drošības iestādes apakšsistēmas pakalpojuma) ir atbildīgs par drošības politiku ieviešana, pilnvaru izveide, paroles maiņa un lietotāja autorizācija sistēma.
Microsoft norādīts sekojošais.

Pēc KB5019966 vai jaunāku atjauninājumu instalēšanas domēna kontrolleros (DC) var rasties atmiņas noplūde, izmantojot vietējās drošības iestādes apakšsistēmas pakalpojumu (LSASS, exe). Atkarībā no jūsu DC slodzes un laika kopš pēdējās servera restartēšanas, LSASS var pastāvīgi palieliniet atmiņas lietojumu līdz ar servera darbības laiku, un serveris var nereaģēt vai automātiski restartēt. Piezīme. Šī problēma var ietekmēt DC ārpusjoslas atjauninājumus, kas tika izlaisti 2022. gada 17. novembrī un 2022. gada 18. novembrī.

Problēma skar Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 un Windows Server 2008 SP2. Ārpusjoslas atjauninājumu instalēšana, kas tika izlaisti, lai atrisinātu autorizācijas problēmas domēna kontrolleros, nenovērš atmiņas noplūdi. Microsoft joprojām strādā pie risinājuma.

Kā risinājumu varat iestatīt KrbtgtFullPacSignature reģistra vērtību uz 0, izmantojot šādu komandu:
reg pievienot "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
Izsniedziet to kā administratoru.
Pēc labojumfaila izlaišanas ir jāiestata lielāka atslēgas KrbtgtFullPacSignature vērtība, ievērojot tālāk sniegto atsauces tabulu.

• 0 – Invalīds
• 1 – Jauni paraksti ir pievienoti, bet nav pārbaudīti. (Noklusējuma iestatījums)
• 2 - Audita režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas nav derīgs, tiek atļauta autentifikācija un tiek izveidoti audita žurnāli.
• 3 - izpildes režīms. Tiek pievienoti jauni paraksti un pārbaudīti, ja tādi ir. Ja paraksta trūkst vai tas ir nederīgs, autentifikācija tiek liegta un tiek izveidoti audita žurnāli.