微软的“补丁星期二”再次给企业 IT 部门带来了严峻挑战。
在发布了 2026 年 4 月的安全更新后,微软确认了一个严重 Bug:部分 Windows Server 系统在安装更新并重启后,会陷入无限重启循环,导致域控制器(Domain Controller)完全不可用。
⚠️ 谁会受到影晌?
这是一个针对特定企业环境的高危问题。主要影响满足以下条件的 Windows Server 系统:
- 安装了特定更新:KB5082063 或 KB5082142(2026 年 4 月安全更新)。
- 启用了特权访问管理(PAM):PAM 是一种用于隔离特权账户、增强安全性的高级功能,通常用于高安全需求的内网环境。
- 非全局编录域控制器:特别是那些在启动早期就需要处理身份验证请求的域控制器。
💥 故障原因:LSASS 与 PAM 的“致命冲突”
问题的根源在于 本地安全机构服务器服务(LSASS) 与 特权访问管理(PAM) 组件之间的新冲突。
- LSASS 负责验证用户登录和执行安全策略,是 Windows 安全的核心进程。
- 当系统在启动过程中尝试初始化 PAM 相关的身份验证逻辑时,LSASS 会发生崩溃。
- 由于 LSASS 是关键系统进程,其崩溃会导致系统立即重启,从而形成“启动 -> 崩溃 -> 重启”的死循环。
对于依赖域控制器进行身份验证的企业网络来说,这意味着整个域可能瘫痪,员工无法登录电脑,关键业务应用无法访问,后果不堪设想。
🛠️ 官方应对措施:联系支持获取缓解包
目前,微软尚未发布公开的修复补丁。
- 缓解措施:微软已开发出一种缓解措施(Mitigation),但仅通过微软企业支持渠道提供。
- 行动建议:受影响的 IT 管理员应立即联系 Microsoft Enterprise Support,获取并应用该缓解包。
- 预防性措施:如果你尚未安装 4 月更新,且环境中使用了 PAM,建议暂停部署该更新,直到官方发布正式修复或你从支持团队获得了缓解方案。
评论