Il 9 aprile 2024, appena installati gli ultimi aggiornamenti di Windows 11, molte aziende si sono trovate con i loro Domain Controller in tilt. Non un semplice bug da correggere in fretta, ma un problema serio che manda in crash i server fondamentali per gestire l’intera rete aziendale. Le patch KB5083769 e KB5082052, pensate per migliorare la sicurezza, hanno invece scatenato un loop di riavvii continui, impedendo l’accesso ai servizi di autenticazione.
Il cuore del problema? Un conflitto tecnico tra il componente PAM e LSASS, il servizio che gestisce la sicurezza locale. I Domain Controller non configurati come Global Catalog si bloccano appena si avviano, costringendo gli amministratori IT a fronteggiare un blackout che mette a rischio l’intera infrastruttura di rete. Una falla che pesa, eccome, sulle aziende che ancora devono trovare una soluzione stabile.
Domain Controller in tilt: lo scontro tra PAM e LSASS
Il problema segnalato da Microsoft riguarda in particolare i Domain Controller che non sono Global Catalog e che operano in ambienti con sistemi PAM attivi per gestire gli accessi privilegiati. Dopo aver installato gli aggiornamenti di aprile, durante l’avvio del server il processo LSASS va in crash, facendo crollare il sistema.
LSASS è un servizio cruciale: gestisce le regole di sicurezza locali e l’autenticazione degli utenti. Quando LSASS si blocca, il Domain Controller non riesce a partire e si riavvia all’infinito. Questo blocca tutti i processi legati all’autenticazione e mette fuori uso la directory Active Directory, fondamentale per gestire le risorse di rete.
Il problema non riguarda solo i server già operativi, ma può presentarsi anche durante l’installazione o la configurazione di nuovi Domain Controller in ambienti con privilegi PAM attivi. In pratica, il conflitto tra i moduli aggiornati crea un’instabilità grave, un vero e proprio pericolo soprattutto per le aziende che si affidano ai servizi di dominio Microsoft.
Come individuare e fermare i riavvii a catena dei Domain Controller
I riavvii ripetuti e automatici dei Domain Controller dopo l’installazione delle patch di aprile sono un segnale d’allarme per ogni amministratore di sistema. Il sintomo più chiaro è il mancato caricamento del sistema operativo, con crash evidenti del processo LSASS e interruzioni durante l’avvio. I server colpiti non arrivano mai a uno stato stabile e restano bloccati in un loop continuo, paralizzando i servizi di autenticazione.
Microsoft ha pubblicato un avviso ufficiale invitando gli amministratori a contattare il supporto tecnico per accedere a procedure di mitigazione riconosciute. Questi interventi temporanei possono essere applicati sia ai server già colpiti, sia a quelli dove le patch non sono ancora state installate, come misura preventiva. La soluzione passa per l’applicazione di workaround specifici che disinnescano il conflitto tra PAM e LSASS, evitando così i blocchi durante l’avvio.
Questa è una mossa fondamentale per mantenere in piedi le operazioni nelle reti aziendali. Nel frattempo, Microsoft assicura di essere al lavoro su una patch definitiva che risolverà il problema in modo stabile. Intanto, agire subito con i rimedi temporanei è l’unico modo per limitare i disservizi e preservare la sicurezza del dominio.
Rischi e conseguenze per la sicurezza delle reti aziendali
I Domain Controller sono il cuore pulsante delle reti aziendali. Non solo gestiscono l’autenticazione degli utenti, ma controllano l’accesso a risorse e servizi, sincronizzano le policy di sicurezza e orchestrano la comunicazione tra sistemi diversi. Quando si bloccano, i problemi si moltiplicano, mettendo a rischio la disponibilità e l’integrità dell’intera infrastruttura.
I crash di LSASS causati dagli ultimi aggiornamenti mettono a rischio l’accesso ai servizi fondamentali di Active Directory. Le interruzioni possono bloccare l’autenticazione, paralizzando i sistemi e causando perdite di produttività. Per le aziende con alti standard di sicurezza e compliance, un Domain Controller fuori uso può aprire falle nei controlli degli accessi.
Quando il dominio non è raggiungibile, molti servizi dipendenti diventano inaccessibili, con disagi che possono coinvolgere anche processi operativi critici. Serve quindi un intervento rapido e preciso per evitare che il problema sfoci in un blocco totale delle attività. Seguire le indicazioni di Microsoft per la mitigazione aiuta a contenere i danni in attesa della patch definitiva.
Questa vicenda mette ancora una volta in luce quanto siano complesse le infrastrutture Microsoft e quanto delicato sia distribuire aggiornamenti di sicurezza in reti estese. Episodi come questo spingono a porre maggiore attenzione alle procedure di controllo prima e dopo la distribuzione delle patch, sottolineando l’importanza di un supporto tecnico efficiente nelle aziende.
