Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda a resolver um problema no qual o Windows Server para de responder na inicialização ao aplicar a Política de Grupo se o Monitor do Sistema (Sysmon) estiver instalado.
O driver Sysmon (SysmonDrv.sys) intercepta a transição do modo de usuário para o kernel e, em seguida, envia o trabalho para o processo de modo de usuário Sysmon64.exe. A maioria dos Sysmon64.exe threads está presa esperando em uma seção crítica. O proprietário da seção crítica está aguardando um thread LSASS (Serviço de Subsistema de Autoridade de Segurança Local). No entanto, o thread do proprietário do LSASS está tentando adquirir uma seção crítica diferente. Muitos outros threads LSASS estão bloqueados aguardando esta seção crítica.
O thread de propriedade da seção crítica é bloqueado no kernel do SysmonDrv para a comunicação do modo de usuário para processar Sysmon64.exe, que é observado como travado aguardando no thread LSASS. Isso resulta em um deadlock.
Você pode resolver esse problema atualizando o Sysmon para a versão mais recente ou contornar esse problema desativando FileBlockShreddingo .
Desativar FileBlockShredding
Para encontrar uma solução alternativa para esse problema, siga essas etapas:
Localize o arquivo de configuração XML executando o seguinte cmdlet:
PS C:\Sysmon> .\Sysmon64.exe -c Sysmon (internal) v15.00 - Monitors system events By Mark Russinovich and Thomas Garnier Copyright (C) 2014-2023 Microsoft Corporation Using libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved. Sysinternals - www.sysinternals.com (http://www.sysinternals.com/) Current configuration: - Service name: Sysmon64 - Driver name: SysmonDrv - Config file: .\file-delete.xmlElimine a seguinte condição:
<FileBlockShredding onmatch="..."> ... </FileBlockShredding>