Windows Server-Updates verursachen LSASS-Speicherlecks
Ein Speicherleck im Local Security Authority Subsystem Service (LSASS), einem Dienst, der es Benutzern ermöglicht, lokale Sicherheit, Benutzeranmeldungen und Berechtigungen zu verwalten, wird derzeit von Microsoft untersucht.
Er ist für die Durchsetzung von Sicherheitsrichtlinien auf Windows-Rechnern zuständig, und seine Speicherleck-Fehler werden durch Windows Server-Updates verursacht, die während des November-Patch-Dienstags veröffentlicht wurden und bei einigen Domänencontrollern zum Einfrieren und Neustart führen können.
"Nach der Installation von KB5019966 oder späteren Updates auf Domänencontrollern (DCs) kann es zu einem Speicherleck beim Local Security Authority Subsystem Service (LSASS,exe) kommen. Abhängig von der Arbeitslast Ihrer DCs und der Zeit, die seit dem letzten Neustart des Servers verstrichen ist, kann LSASS die Speichernutzung mit der Betriebszeit Ihres Servers kontinuierlich erhöhen, so dass der Server möglicherweise nicht mehr reagiert oder automatisch neu gestartet wird", erklärte Microsoft.
Betroffen sind die Windows Server-Versionen 2008 SP2 und R2 SP1, 2012 und 2012 R2, 2016 und 2019. Er erreicht dies, indem er abstürzt und dazu führt, dass angemeldete Benutzer sofort den Zugriff auf die Windows-Konten auf dem Computer verlieren, woraufhin ihnen ein Fehler beim Systemneustart angezeigt wird, gefolgt von einem Neustart des Systems.
Während Microsoft an der Behebung des LSASS-Speicherlecks auf Domänencontrollern arbeitet, gibt es eine temporäre Umgehungslösung, die IT-Experten bei der Behebung des Problems in Unternehmensumgebungen unterstützt. Starten Sie dazu die Eingabeaufforderung als Administrator und führen Sie den folgenden Befehl aus, um den Registrierungsschlüssel "KrbtgtFullPacSignature" auf den Wert 0 zu setzen: Nachdem Sie die Eingabeaufforderung als Administrator geöffnet haben, können sie den Befehl verwenden:
reg add "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD
"Sobald dieses bekannte Problem behoben ist, sollten Sie KrbtgtFullPacSignature auf eine höhere Einstellung setzen, je nachdem, was Ihre Umgebung zulässt", schreibt Microsoft. "Es wird empfohlen, den Durchsetzungsmodus zu aktivieren, sobald Ihre Umgebung bereit ist."
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.