Dai's questions

• Acabei de notar isso agora, mas aparentemente desde 2022-01-11 ("Patch Tuesday" em janeiro de 2022) o hipervisor Hyper-V do servidor dev da minha rede doméstica não conseguiu iniciar.

  • A caixa é uma máquina Xeon E3 de 6 anos (UEFI, é claro), executando o Windows Server 2012 R2 com as funções de host Controlador de Domínio e Hyper-V instaladas.

• Os logs de eventos do Hyper-V estão repletos de erros, mas todas essas são consequências de segunda ordem da falha inicial do serviço que é relatada com este evento no log de eventos do sistema:

  Nível: Origem do erro
  : Hyper-V-Hypervisor
  ID do evento: 80

  Falha na inicialização do hipervisor; O carregador de inicialização do sistema operacional falhou com o erro 0xC00000BB.

  • O XML bruto do evento diz que o 0xC00000BBcódigo é um NTSTATUScódigo de erro, o que aparentemente significa " STATUS_NOT_SUPPORTED" - o que não faz sentido, pois o Hyper-V estava funcionando bem antes do Patch Tuesday e não estou ciente da Intel lançando nenhum atualizações de microcódigo do processador para desabilitar a virtualização de hardware como algum tipo de mitigação horrível no estilo SPECTRE/MELTDOWN...

• Como aconteceu logo após o patch terça-feira, suponho que a Microsoft falhou em um patch Hyper-V - e provavelmente não deveria estar esperando o melhor controle de qualidade para patches de segurança para versões de SO de 8,5 anos ...

• Alguma ideia?

Esta pergunta não é uma duplicata dessas perguntas existentes:

• AUTHORITY\NetworkService não existe (a pergunta é para o Windows Server 2003
• Como posso executar um processo como "NT Authority\NetworkService"? (esta é uma pergunta de script)
• https://stackoverflow.com/questions/34966029/adding-permissions-for-nt-authority-networkservice (trata-se de adicionar um NT AUTHORITYprincipal a uma ACL, não selecionar um principal no Find User GUI)

Eu tenho um serviço do Windows configurado em computadores diferentes:

• Um computador de estação de trabalho (sem domínio) (executando o Windows 10)
• Uma estação de trabalho (sem domínio) Windows Server (executando o Windows Server 2016)
• Uma estação de trabalho de domínio (executando o Windows 10)
• Um servidor membro do domínio (executando o Windows Server 2016)
• Um controlador de domínio (executando o Windows Server 2016)

Computadores associados ao domínio e servidores membros:

Em todos os computadores, exceto no controlador de domínio, o services.mscpop-up "Selecionar usuário" da folha de propriedades > Propriedades do serviço > Fazer logon me permite selecionar os NT AUTHORITYprincipais internos NETWORK SERVICEe LOCAL SERVICE(também conhecido como NT AUTHORITY\NetworkServicee NT AUTHORITY\LocalService).

Se eu ignorar a janela Pesquisar usuários e apenas digitar " network service" na janela Selecionar usuário e clicar em "Verificar nomes", será resolvido corretamente para NETWORK SERVICE:

Controladores de domínio:

No entanto, neste controlador de domínio do Windows Server 2016, o pop-up Selecionar usuário não me permite especificar nenhum nome de computador local (o que faz sentido: o sistema de segurança do computador local se torna o sistema de segurança de domínio).

...o que significa que não é possível resolver, pesquisar ou selecionar NETWORK SERVICEou LOCAL SERVICE:

Quando digito diretamente na guia Logon, recebo este erro:

O nome da conta é inválido ou não existe, ou a senha é inválida para o nome da conta especificado.

Observo que em um controlador de domínio, a janela "Selecionar usuário ou conta de serviço" só me permite selecionar "Contas de serviço" ou "Usuários" e não "Princípios de segurança integrados".

Estação de trabalho associada ao domínio ou servidor membro:

Controlador de domínio (Windows Server 2012 R2, mas é o mesmo em 2016):

Eu sei que posso definir a conta de logon de serviço usando sc configou editando o registro manualmente (ou digitando " Local Service" ou " Network Service" na caixa de texto "Esta conta:" Service Account" fora de Services.msc em um controlador de domínio?

Tenho uma VM do Windows Azure executando o Windows Server 2012 R2 que não consegue instalar atualizações desde abril de 2016. A tela "Exibir histórico de atualizações" no Painel de controle lista centenas de falhas sucessivas de tentativas constantes de instalar as atualizações em todas as máquinas reiniciar.

A janela Detalhes para cada atualização é semelhante a:

Atualização para Windows Server 2012 R2 (KB3133690)

• Data de instalação: ‎2016-‎04-‎25 10:34
• Status da instalação: Falha
• Detalhes do erro: Código 800F0922 Obtenha ajuda com este erro
• Tipo de atualização: Recomendado

Instale esta atualização para resolver problemas no Windows. Para obter uma lista completa dos problemas incluídos nesta atualização, consulte o artigo associado da Base de Dados de Conhecimento da Microsoft para obter mais informações. Depois de instalar este item, talvez seja necessário reiniciar o computador.

Mais informações: http://support.microsoft.com/kb/3133690

Ajuda e suporte: http://support.microsoft.com

(Como de costume, o link "Obter ajuda com este erro" é inútil e abre uma janela de Ajuda e Suporte do Windows que simplesmente diz "Obtendo resultados de pesquisa... Não foi possível encontrar nenhum resultado. Aqui estão algumas coisas para tentar:". Eca,

O log de eventos do Windows também está repleto de eventos como estes:

• Nome do registro: sistema
• Fonte: WindowsUpdateClient
• Identificação do evento: 20
• Nível: Erro
• Usuário: SISTEMA
• OpCode: Installation Installation Failure: Windows failed to install the following update with error 0x800F0922: Security Update for Windows Server 2012 R2 (KB3159398).

O log de eventos do aplicativo contém informações mais úteis:

• Nome do registro: aplicativo
• Fonte: Relatório de Erros do Windows
• Identificação do evento: 1001
• Nível: Informação
• Usuário: N/A Depósito de falha, tipo 0 Nome do evento: WindowsUpdateFailure3 Resposta: Não disponível Cab Id: 0

Assinatura do problema: P1: 7.9.9600.18235 P2: 800f0922 P3: BA0F75FF-19C3-4CBD-A3F3-EF5B5C0F88BF P4: Instalar P5: 202 P6: 0 P7: 0 P8: AutomaticUpdatesWuApp P9: {7971F918-A847-4430-4430-9297} P10: 0

Arquivos anexados: C:\Windows\WindowsUpdate.log C:\Windows\SoftwareDistribution\ReportingEvents.log C:\Windows\Logs\CBS\CBS.log

Esses arquivos podem estar disponíveis aqui: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_7.9.9600.18235_(Redigido)

Símbolo de análise: Verificando novamente a solução: 0 ID do relatório: (redigido) Status do relatório: 4 Depósito de hash:

O servidor reinicializaria para instalar atualizações, pararia e executaria uma reversão imediatamente depois, fazendo com que uma reinicialização normal durasse mais de 15 minutos.

O arquivo de log C:\Windows\WindowsUpdate.lognão fornece nenhuma pista - não relata erros ou avisos óbvios - além de mensagens excessivas sobre a incapacidade de usar a API de conexão medida: "AVISO: Falha ao obter informações de custo de rede do NLM, assumindo que a rede NÃO é medido, erro = 0x80240037".

O C:\Windows\SoftwareDistribution\ReportingEvents.logarquivo contém apenas o mesmo texto do painel de controle do Windows Update: "Falha na instalação do conteúdo na instalação: o Windows falhou ao instalar a seguinte atualização com o erro 0x800f0922: Atualização de segurança para o Windows Server 2012 R2 (KB3162343)."

Por fim, C:\Windows\Logs\CBS\CBS.loghá um arquivo de texto com mais de 180 MB que examinei, mas não consegui encontrar nada óbvio.

(Postado em ServerFault em vez de StackOverflow porque sinto que diz respeito mais à configuração do sistema operacional do que ao código de programação).

Atualmente sou responsável pela manutenção de um sistema que se conecta a um webservice de terceiros. Este webservice requer certificados de autenticação do cliente, o que é bastante justo, mas o próprio webservice é protegido com um certificado autoassinado criado por um certificado de autoridade de certificação raiz autocriado - a mesma raiz que cria os certificados de autenticação do cliente.

Seria suficiente apenas adicionar o certificado de serviço atual à lista de confiança conhecida e ignorar o certificado de autoridade autocriado, infelizmente o certificado de serviço muda regularmente, então o certificado de autoridade deve ser confiável para garantir que o aplicativo não seja interrompido quando o certificado de serviço é renovado.

No entanto, eu não confio (pessoalmente) no certificado CA com base em minha experiência com a empresa que executa o serviço da web - não me surpreenderia se vazasse para a web - e, preocupantemente, o certificado CA não tem restrições de uso de chave colocadas em (embora ataques MITM externos sejam uma possibilidade, embora remota, estou mais preocupado com um certificado vazado usado para assinatura de código, por exemplo).

É possível para mim dizer ao meu computador (atualmente uma caixa de servidor, mas no futuro caixas de clientes de desktop comuns) para confiar em uma CA, mas apenas para um determinado conjunto de usos de chave e um pequeno conjunto de possíveis nomes de assunto (nomes de domínio )?

Atualmente, o servidor é o Windows Server 2012 R2, mas pode ser executado em uma caixa Linux - embora as máquinas desktop sejam todas caixas Windows.