Microsoft ostrzega przed pętlą restartów kontrolerów domeny po kwietniowych aktualizacjach Windows Server

Wprowadzenie do problemu / definicja

Microsoft potwierdził problem dotyczący części środowisk Windows Server, w których kontrolery domeny mogą wpadać w pętlę restartów po instalacji kwietniowych aktualizacji zabezpieczeń z 2026 roku. Usterka wiąże się z awarią procesu LSASS, czyli jednego z kluczowych komponentów odpowiedzialnych za uwierzytelnianie oraz egzekwowanie polityk bezpieczeństwa w systemach Windows.

W praktyce oznacza to ryzyko poważnych zakłóceń w działaniu Active Directory. o ile kontroler domeny nie jest w stanie stabilnie się uruchomić, organizacja może utracić dostęp do usług logowania, walidacji poświadczeń oraz innych procesów zależnych od infrastruktury tożsamościowej.

W skrócie

• Problem dotyczy wybranych kontrolerów domeny po wdrożeniu aktualizacji KB5082063.
• Źródłem awarii jest proces LSASS, którego błąd może prowadzić do cyklicznych restartów serwera.
• Najbardziej narażone są środowiska wykorzystujące Privileged Access Management oraz kontrolery domeny niepełniące roli Global Catalog.
• Skutki obejmują niedostępność usług katalogowych, uwierzytelniania i logowania.
• Microsoft pracuje nad rozwiązaniem, a administratorom zaleca działania ograniczające ryzyko oraz kontakt ze wsparciem technicznym.

Kontekst / historia

Kontrolery domeny należą do najbardziej krytycznych elementów infrastruktury przedsiębiorstwa. Odpowiadają za centralne uwierzytelnianie użytkowników, obsługę zasad grupowych, autoryzację dostępu do zasobów oraz replikację danych katalogowych pomiędzy serwerami domenowymi.

Problemy wywołane przez aktualizacje zabezpieczeń nie są w tym obszarze nowością. W poprzednich latach administratorzy mierzyli się już z incydentami wpływającymi na NTLM, Active Directory oraz stabilność usług logowania. Obecna sytuacja ponownie pokazuje, iż choćby poprawki bezpieczeństwa mogą powodować niezamierzone skutki uboczne w złożonych środowiskach korporacyjnych.

Analiza techniczna

Techniczne źródło problemu stanowi awaria procesu Local Security Authority Subsystem Service, czyli LSASS. Komponent ten odpowiada między innymi za uwierzytelnianie użytkowników, obsługę tokenów bezpieczeństwa, stosowanie zasad lokalnych oraz integrację z mechanizmami domenowymi Active Directory.

Po instalacji kwietniowej aktualizacji i ponownym uruchomieniu systemu część kontrolerów domeny może doświadczyć błędu LSASS już na wczesnym etapie startu. Gdy serwer zaczyna obsługiwać żądania uwierzytelniania bardzo wcześnie po uruchomieniu, proces może ulec awarii, co prowadzi do wymuszonego restartu maszyny. o ile scenariusz powtarza się po każdym uruchomieniu, serwer wpada w pętlę restartów.

Według dostępnych informacji problem dotyczy przede wszystkim kontrolerów domeny typu non-GC, czyli takich, które nie pełnią roli Global Catalog, w środowiskach korzystających z funkcji Privileged Access Management. To ważne zawężenie, ponieważ wskazuje na zależność pomiędzy topologią Active Directory a dodatkowymi mechanizmami zarządzania uprzywilejowanym dostępem.

Lista platform objętych problemem obejmuje wspierane wersje Windows Server, w tym 2016, 2019, 2022, 23H2 oraz 2025. Oznacza to konieczność pilnej weryfikacji stanu kontrolerów domeny w organizacjach, które wdrożyły najnowszy pakiet aktualizacji zabezpieczeń.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest utrata dostępności usług katalogowych. Kontroler domeny restartujący się w pętli nie jest w stanie stabilnie obsługiwać logowania użytkowników, walidacji poświadczeń, replikacji katalogu ani innych operacji zależnych od Active Directory.

W środowiskach o ograniczonej redundancji może to doprowadzić do częściowej lub pełnej niedostępności domeny. Z perspektywy biznesowej oznacza to ryzyko przestojów operacyjnych, problemów z dostępem do aplikacji korporacyjnych, usług zdalnych, systemów plików oraz segmentów administracyjnych.

Incydent ma także wymiar bezpieczeństwa. Zespoły SOC i administratorzy często polegają na usługach katalogowych przy egzekwowaniu dostępu uprzywilejowanego, analizie zdarzeń uwierzytelnienia i zarządzaniu kontami. Zakłócenie pracy kontrolerów domeny może utrudnić zarówno bieżące operacje bezpieczeństwa, jak i reagowanie na incydenty.

Dodatkowym problemem jest moment ujawnienia awarii. W wielu organizacjach aktualizacje są instalowane podczas okien serwisowych, a restart następuje po zakończeniu wdrożenia. To zwiększa ryzyko jednoczesnego wystąpienia problemu na wielu serwerach, jeżeli poprawka została rozdystrybuowana masowo bez wcześniejszych testów.

Rekomendacje

Administratorzy powinni jak najszybciej zidentyfikować wszystkie kontrolery domeny działające na wspieranych wersjach Windows Server oraz ustalić, które z nich są serwerami non-GC i jednocześnie funkcjonują w środowiskach wykorzystujących Privileged Access Management. To właśnie ta grupa wymaga priorytetowej oceny ryzyka.

• przeprowadzić przegląd ostatnio zainstalowanych aktualizacji bezpieczeństwa na kontrolerach domeny,
• wstrzymać szerokie wdrożenia aktualizacji KB5082063 do czasu zakończenia testów w środowisku kontrolnym,
• sprawdzić poziom redundancji kontrolerów domeny i rozkład ról Global Catalog,
• monitorować zdarzenia związane z awariami LSASS, restartami systemu i błędami usług katalogowych,
• przygotować procedurę awaryjnego odtwarzania kontrolera domeny oraz plan wycofania zmian,
• skontaktować się z pomocą techniczną producenta w celu uzyskania oficjalnych działań mitigacyjnych,
• ograniczyć wdrożenia zmian do kontrolowanych okien serwisowych z pełnym planem rollbacku.

Z perspektywy cyberbezpieczeństwa najważniejsze jest zachowanie równowagi między szybkim wdrażaniem poprawek a odpornością usług tożsamościowych. Aktualizacje dla kontrolerów domeny powinny być poprzedzone testami regresyjnymi obejmującymi logowanie, replikację, scenariusze rozruchowe oraz działanie mechanizmów PAM.

Podsumowanie

Kwietniowa aktualizacja bezpieczeństwa KB5082063 może powodować awarie LSASS i pętlę restartów części kontrolerów domeny Windows Server. Choć problem koncentruje się na określonych konfiguracjach, jego skutki mogą być poważne dla całej infrastruktury tożsamościowej organizacji.

Dla działów IT i bezpieczeństwa oznacza to konieczność natychmiastowej oceny wpływu, przeglądu planów aktualizacji oraz przygotowania działań ograniczających ryzyko niedostępności Active Directory. W środowiskach krytycznych priorytetem powinno być utrzymanie ciągłości usług uwierzytelniania i minimalizacja ryzyka jednoczesnej awarii wielu kontrolerów domeny.

Źródła

1. Microsoft: Some Windows servers enter reboot loops after April patches — https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-of-reboot-loops-affecting-some-domain-controllers/
2. Privileged Access Management for Active Directory Domain Services — https://learn.microsoft.com/en-us/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services
3. Windows release health — https://learn.microsoft.com/en-us/windows/release-health/