Windows 10 20H2: Abstürze von lsass.exe (Okt. 2020)

[English]In Windows 10 20H2 gibt es bei einigen Nutzern wohl das Problem, dass das Local Security Authority Subsystem Service file (lsass.exe) bei bestimmten Konstellationen abstürzt. Hier ein kurzer Überblick, was mir bisher unter die Augen gekommen ist – verbunden mit der Frage, ob es weitere Betroffene gibt. Ergänzung: Ursache benannt und auf Nachfolgeartikel verlinkt.

Rückblick: BSOD in lsass.exe durch Juni 2020-Updates

Im Juni 2020 gab es mit den für Windows 10 Version 1809 und höher freigegebenen Sicherheitsupdates auf manchen Maschinen Probleme. Es kam zu Abstürzen mit Blue Screens durch lsass.exe (Local Security Authority Subsystem Service). Ich hatte das Thema im Blog-Beitrag Windows 10: BSOD in lsass.exe durch Juni 2020-Updates behandelt.

Das Problem wurde durch Microsoft auf den Windows 10-Statusseiten bestätigt und später mit den kumulativen Updates vom 14. Juli 2020 auch behoben. Mein Blog-Beitrag zum damaligen Fehler wird in Suchmaschinen recht prominent ausgeworfen, so dass von Lsass.exe-Abstürzen betroffene Nutzer mit Kommentaren einschlagen.

Windows 10 Update KB4577063 fixt lsass-Problem

Zum 22.9.2020 wurde Update KB4577063 für Windows Insider (Windows 10 Update KB4577063 als Preview für Insider) und am 1.10.2020 allgemein für Windows 10 2004 freigegeben. Windows 10 2004 und 20H2 verwenden ja die gleichen Updates. In der Liste der behobenen Fehler heißt es:

Addresses an issue that causes an access violation in lsass.exe when a process is started using the runas command in some circumstances.

Dort gibt es also den Hinweis, dass lsass.exe in bestimmten Konstellationen eine Zugriffsverletzung auslöst. Dieses Update scheint aber nicht alle Problemstellen in Bezug auf lsass.exe ausgebügelt zu haben.

lsass.exe-Abstürze in Windows 10 20H2

Bereits am 22. Oktober 2020 hat sich ein Benutzer bei askwoody.com mit diesem Foreneintrag gemeldet und von Lsass.exe-Abstürzen berichtet.

After updating to 20H2, if you try to edit a user’s permissions using Computer Management as soon as you click on “user” to choose the user to edit, the cursor shows “working” and shortly after the system will request to restart.

“A critical system process, C:\WINDOWS\system32\lsass.exe, failed with status code c0000374. The machine must now be restarted”

The system reboots after 1 minute.

Der System-Neustart ist wohl den BlueScreen-Einstellungen geschuldet. Das Interessante ist, dass Windows 10 nach dem Update auf die Version 20H2 Probleme mit der Computerverwaltung hat. Der Nutzer schreibt von Abstürzen bei der Anpassung von Nutzerberechtigungen in der Gruppen-/Nutzerverwaltung der Computerverwaltung. Im Thread bestätigen mehrere Nutzer dieses Verhalten, während andere das Problem nicht nachstellen können.

Hier in meinem Blog gibt es diesen Kommentar von Blog-Leser Roman, der Probleme mit Gruppenverwaltung unter Windows 10 20H2 hat, weil Lsass.exe abstürzt. Roman schreibt:

Jetzt gibt es einen neuen Fehler beim 20H2 Update.
lsass.exe stürzt z.B. im Computermanagement ab wenn man die Gruppen auflisten will, aber noch bei vielen anderen Konstellationen.
Jedoch mit einer anderen Fehlernummer als noch im Juni. Diesmal ist es der Fehler c0000374. Mittels Powershell kann man aber alle Gruppen anzeigen lassen und auch Mitgliedschaften ändern.

Ich habe mal bei meiner Testmaschine probiert, die Computerverwaltung mit administrativen Berechtigungen aufzurufen und dann Gruppen aufzulisten oder Benutzerkonten-Eigenschaften anzupassen. Auf meiner Testmaschine mit Windows 10 20H2 (Upgrade von 2004) gibt es bisher aber keine Abstürze.

In einem weiteren Kommentar hat sich Blog-Leser Malte gemeldet und thematisiert ebenfalls Lsass.exe-Abstürze. Malte schreibt dazu:

Ich habe auch ein Problem mit dem lsass. Ich führe ein Upgrade von 1909 oder von 2004 durch, auf einer VM, nach dem Neustart ist keine Anmeldung mehr möglich. Das System startet nach Eingabe von Benutzername/Kennwort neu.
Es ist nur möglich das System im abgesicherten Modus zu starten und sich anzumelden.

Dies passiert auf einem nackten Windows, nur VM Ware Tools installiert.

Spannende Frage ist, ob das am 29. Oktober 2020 verteilte Update KB4580364 (Windows 10 20H2/2004: Update KB4580364 freigegeben) etwas an diesem Zustand ändert? Die vom Crash betroffenen Nutzer können da ja mal testen. Ansonsten die Frage: Noch jemand von den Lsass.exe-Abstürzen betroffen?

Ergänzung: Weitere Betroffene

Auf administrator.de ist mir diese Fundstelle unter die Augen gekommen, wo jemand bei einem Domänen Client mit Windows 7 das Upgrade auf Windows 10 20H2 durchgeführt hat. Die Fehlermeldung beim Auflisten von Gruppen:

Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000374. Der Computer muss neu gestartet werden.

In der Windows Ereignisanzeige wird der Fehler mit der Event id 1015 angegeben.

Zudem hat sich Blog-Leser Ralf M. per E-Mail gemeldet und folgende Informationen hinterlassen (danke dafür):

Habe am Wochenende insgesamt 7 Clients von Windows 10 Pro Version 1909 versucht auf Version 20H2 zu aktualisieren. Die Rechner wurden ursprünglich mit WIN7 Pro geliefert und installiert.

Vor dem Update wurden eventuell vorhandene Virenscanner deinstalliert, damit diese erst gar nicht in den Update-Prozess eingreifen können. Es wurde ein aktuelles ISO von MS geladen, das geht am einfachstem mit Firefox und UserAgentSwitcher:

https://www.microsoft.com/de-de/software-download/windows10ISO

ISO wurde dann einfach per „Bereitstellen“ am System gemountet und als Administrator installiert.

Nur bei 2 der 7 Systeme tritt nach dem Update von 1909 auf 20H2 der Fehler mit der lsass.exe nicht auf, das kann man ganz einfach mit lusrmgr.msc prüfen, User auswählen, Gruppe hinzufügen, bei der Suche nach den verfügbaren lokalen Gruppen kommt die animierte Suchlupe und das System stürzt reproduzierbar ab.

Bei den funktionierenden Systemen erscheint sofort die Auswahlliste ohne Verzögerung!

Alle Systeme sind in Deutsch, BIOS auf dem aktuellsten verfügbaren Stand. Alle Systeme haben eine SSD. Hersteller sind DELL und HP, Notebooks und Desktops. 4 Hardwaresysteme sind identisch, da sie zur gleichen Zeit bestellt wurden.

Davon konnte 1 System von 4 erfolgreich auf 20H2 aktualisiert werden, ohne in den LSASS.exe Fehler hineinzulaufen.

Das ist ein System bei dem nicht von WIN7 auf 1909 > 20H2 aktualisiert wurde. Hier kam gleich bei der Erstinstallation 1909 zum Tragen.  Ich habe die Vermutung das dieser Fehler v.a. bei Systemen auftritt die von WIN7 aktualisiert wurden.

Bei einer Neuinstallation mit Windows 10 20H2 tritt der Fehler bisher bei keinem einzigen meiner Geräte auf. Auch bei der Installationskette

WIN7>1909>2004

ist der Fehler nicht vorhanden, sobald auf 20H2 installiert wird, läuft man Gefahr das der LSASS.exe Fehler auftritt.

Nach der Installation wurden sämtliche verfügbaren Updates von MS eingespielt. Der Fehler, sofern vorhanden bleibt jedoch bestehen.

Keiner der Rechner befindet sich in einer Domain.

Bleiben sie am Thema dran, das wird noch spannend.

Klingt alles nicht so sonderlich schön. Ich habe es unten im Kommentar erwähnt, dass ich den Fehler an die Microsoft Social Media-Teams von Windows Update und MSWindowsITPro gemeldet habe. Zudem habe ich diesen englischsprachigen Microsoft Answers-Forenthread als Community-Moderator an die Microsoft-Moderatoren zwecks Weiterleitung an die Entwickler eskaliert. Mehr kann ich nicht tun.

PwdFilt.dll vom Fremdanbieter Authasas

Ein MVP-Kollege hat für einen sporadisch neu startenden Domain Controller mit dem lsass.exe-Fehler 0xc0000374 eine sehr spezielle Ursache (PwdFilt.dll vom Fremdanbieter Authasas) gefunden und am 27. Oktober 2020 hier beschrieben. Gegebenenfalls auch mal prüfen, ob das die Ursache sein kann.

Ergänzung: Die Erklärung für eine mögliche Ursache wurde durch Microsoft offen gelegt. Ich habe es im Beitrag Windows 10 2004/20H2 lsass.exe-Absturzproblem (Okt. 2020) bestätigt aufbereitet.

Ähnliche Artikel:
Windows 10 Update KB4577063 als Preview für Insider
Windows 10 V2004: Update KB4577063 freigegeben (1.10.2020)
Windows 10 20H2/2004: Update KB4580364 freigegeben
Project Zero: August 2020 LSASS-Patch schützt Windows 10 unzureichend

Dieser Beitrag wurde unter Störung, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows 10 20H2: Abstürze von lsass.exe (Okt. 2020)

  1. Philipp sagt:

    Ja. Bei einem Kunden habe ich ein Update von Windows 7 auf Windows 10 20H2 durchgeführt. Nach dem Update lieferte der Rechner sporadisch die Meldung, dass ein schwerer Fehler dazu führt, dass der Rechner in einer Minute neu gestartet werden muss, das war aber eher zufällig und nicht wirklich reproduzierbar. Ein Blick in die Ereignisanzeige verwies dann auch auf einen Fehler in der lsass.exe.
    Nach Aufspielen eines Backups habe ich dann das Update auf eine ältere Version (Windows 10 1909) durchgeführt, hier lief der Rechner anschließend problemlos.
    Hoffe der Fehler wird behoben, bevor der Kunde ein zwangsweises Update erhält…

  2. Michael sagt:

    Hallo zusammen,

    Auch bei mir tritt der Fehler auf einigen Maschinen nach dem Update auf 20H2 auf:
    Beim Auflisten der lokalen Gruppen im MMC kommt:
    „Beim Lesen der Gruppeneigenschaften ist folgender Fehler aufgetreten:
    Der RPC-Server ist nicht verfügbar.“

    „Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000374. Der Computer muss neu gestartet werden.“
    wird als Ereignis protokolliert.

    KB4580364 behebt das Problem übrigens nicht.

    Möglicher Workaround
    Die lokalen Gruppen können per CMD mit net localgroup
    aufgerufen und bearbeitet werden.

    Ich hoffe, das hilft dem ein oder anderen weiter.

    Grüße
    Michael

  3. MOM20xx sagt:

    win 10 pro von 2004 auf 20h2 über windows update aktualisiert – keine lsass.exe abstürze beim öffnen der lokalen gruppen in der mmc.

    rechner kein domain member, account lokaler account – kein microsoft account.

  4. Jan sagt:

    Habe das Update 20H2 seit ein paar Tagen auf dem Laptop und wirklich jedesmal erhalte ich die Meldung das der Rechner neu gestartet werden muss wenn ich die Benutzerverwaltung als Admin öffne:

    https://i.imgur.com/G61yYGM.png

    Im Eventlog findet man folgende Einträge für diese Zeit:

    Vom Prozess „wininit.exe“ wurde auf Anforderung des Benutzers „“ das Ereignis „neu starten“ für den Computer „NB1000“ aus folgendem Grund initiiert: „Kein Titel für den Grund“
    Ursachencode: „0x50006“
    Herunterfahrtyp: „neu starten“
    Kommentar: „Der Systemprozess „C:\WINDOWS\system32\lsass.exe“ wurde unerwartet mit dem Statuscode -1073740940 beendet. Das System wird heruntergefahren und neu gestartet.“

    Der Dienst „WerSvc“ konnte sich nicht als „NT AUTHORITY\SYSTEM“ mit dem aktuellen Kennwort aufgrund des folgenden Fehlers anmelden:
    Der RPC-Server ist nicht verfügbar.
    Vergewissern Sie sich, dass der Dienst richtig konfiguriert ist im Dienste-Snap-In in der Microsoft Management Console (MMC).

    Der Restart vom Rechner dauert nach dem Reboot verdammt lange. Und das öffnen der MMC benötigt danach auch sehr lange.

  5. Cego sagt:

    Wir haben in der Firma auch diverse PCs upgedated und haben diverse Probleme:
    Einige Rechner bieten gar nicht mehr die Möglichkeit herunter zu fahren und meinen es gibt keine Energieoptionen. Andere widerum wollen ein Administratorkonto um herunterzufahren.
    Bei anderen Rechner kommen wir nicht in die lokalen Gruppen rein, „RPC-Server nicht verfügbar“ und Windows kackt ab, will neustarten.
    Bisher haben wir keine Lösung, haben gehofft hier einen heissen Tipp zu bekommen.

  6. Malte sagt:

    Spannende Frage ist, ob das am 29. Oktober 2020 verteilte Update KB4580364 (Windows 10 20H2/2004: Update KB4580364 freigegeben) etwas an diesem Zustand ändert? Die vom Crash betroffenen Nutzer können da ja mal testen. Ansonsten die Frage: Noch jemand von den Lsass.exe-Abstürzen betroffen?

    Ich habe das Update auf meiner TestVM unter Windows 10 2004 installiert, dann das Update auf 20H2 durchgeführt. Weiterhin besteht das Problem. Die Anmeldung ist nur abgesicherten Modus möglich. VM ist in die Domäne eingebunden.

    Auch bei mir die Meldung im Eventlog
    “Ein kritischer Systemprozess C:\WINDOWS\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000374. Der Computer muss neu gestartet werden.”

    Werde bei Gelegnheit das Eventlog nochweiter durchforsten.

  7. Jan sagt:

    Es betrifft nicht nur die Nutzerverwaltung.

    Gleicher Fehler tritt übrigens bei mir auch auf wenn ich auf das „Arbeits- oder Schulkonto“ gehe und mir die Infos dort anzeigen lassen will…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert