/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/04/pacth-emergenza-windows-server.jpg "Microsoft corregge Windows Server con update urgenti: cosa cambia")
Un aggiornamento rilasciato con urgenza è un evento che non può passare sotto silenzio. Quando si parla di Windows Server, la posta in gioco cresce: si tratta dell’infrastruttura che regge autenticazione, file sharing, servizi applicativi e, in molti casi, interi ambienti aziendali.
Il Patch Tuesday di aprile 2026 ha introdotto problemi non marginali su più versioni del sistema operativo, costringendo Microsoft a intervenire con aggiornamenti out-of-band per tutte le versioni di Windows Server. La questione non riguarda un singolo bug isolato, ma una combinazione di errori che ha colpito installazione degli update, autenticazione e persino il ciclo di avvio dei server.
KB5082063: installazione fallita e crash critici dopo le patch di aprile 2026
Il primo problema emerso riguarda l’aggiornamento di sicurezza KB5082063, che su alcuni sistemi con Windows Server 2025 non si installa correttamente. Gli amministratori hanno riscontrato errori durante la fase di aggiornamento, con rollback automatici o blocchi del processo.
Più grave ancora il secondo scenario: dopo l’installazione degli aggiornamenti cumulativi del Patch Tuesday, alcuni server configurati come controller di dominio entrano in un ciclo continuo di riavvio. Alla base del problema un crash del servizio LSASS (Local Security Authority Subsystem Service), processo critico di sistema responsabile della gestione delle policy di sicurezza, dell’autenticazione utente (login), della modifica delle password e della creazione dei token di accesso.
Quando LSASS si interrompe in modo anomalo, Windows attiva automaticamente un riavvio per proteggere l’integrità del sistema. Il risultato, in pratica, è un loop che rende il server inutilizzabile fino all’intervento manuale.
Un crash di LSASS non significa solo riavvio del sistema: implica l’impossibilità di autenticare utenti e servizi. Va detto però che il comportamento osservato in questi casi è ancora più insidioso: il problema può manifestarsi anche durante la configurazione di nuovi controller di dominio oppure nei primissimi istanti di avvio, quando il server inizia a elaborare le richieste di autenticazione.
In condizioni simili, il sistema entra in uno stato instabile prima ancora di completare la fase di inizializzazione.
Aggiornamenti di emergenza rilasciati da Microsoft
Per risolvere le anomalie, Microsoft ha distribuito una serie di aggiornamenti out-of-band mirati alle diverse versioni di Windows Server.
Tra questi figurano KB5091157 per Windows Server 2025, KB5091575 per Windows Server 2022, KB5091573 per Windows Server 2019 e KB5091572 per Windows Server 2016, oltre a versioni specifiche per ambienti Azure con il meccanismo di hotpatch.
Il comportamento delle patch non è uniforme: l’aggiornamento per Windows Server 2025 risolve sia il problema di installazione sia il crash dei controller di dominio, mentre quelli destinati alle versioni precedenti intervengono esclusivamente sul problema dei riavvii causati da LSASS.
Questa distinzione suggerisce che le due anomalie abbiano origini differenti, anche se si sono manifestate nello stesso ciclo di aggiornamento.
BitLocker e avvii in modalità di recupero
Come se non bastasse, Microsoft ha segnalato un ulteriore effetto collaterale: alcuni sistemi con Windows Server 2025 possono avviarsi in modalità di recupero BitLocker dopo l’installazione dell’aggiornamento problematico.
In pratica, il server richiede l’inserimento della chiave di ripristino al boot. Una situazione critica per ambienti non presidiati o gestiti da remoto, dove l’accesso fisico alla macchina non è immediato.
Considerazioni operative per gli amministratori
Gestire gli aggiornamenti periodici rilasciati mensilmente da Microsoft richiede attenzione e una certa dose di prudenza. Patch di sicurezza e stabilità non viaggiano, purtroppo, nella stessa direzione, almeno nel breve periodo.
In presenza di controller di dominio, è fondamentale monitorare il comportamento del sistema subito dopo l’installazione degli aggiornamenti: log di sistema, eventi legati a LSASS e stato dei servizi di autenticazione. Anche limitati fenomeni di instabilità possono avere come conseguenza effetti a catena sull’intera infrastruttura.
Per muoversi con cautela, sarebbe utile prevedere distribuzioni graduali degli aggiornamenti e ambienti di test che replichino, per quanto possibile, le condizioni reali. Non si elimineranno del tutto i rischi ma si dovrebbero così ottenere riscontri utili sull’affidabilità di ciascuna patch.
/https://www.ilsoftware.it/app/uploads/2026/01/disattivare-AI-chrome-windows-11.jpg "Windows 11 apre agli agenti AI sul desktop: novità importanti")
/https://www.ilsoftware.it/app/uploads/2024/05/organizzare-file-cartelle-windows-llamafs.jpg "KB5083631: Windows 11 risolve finalmente il caos delle cartelle")
/https://www.ilsoftware.it/app/uploads/2026/04/supporto-NTFS-linux.jpg "Linux 7.1 riceve nuovo driver NTFS: più prestazioni e compatibilità")
/https://www.ilsoftware.it/app/uploads/2026/04/redsun-vulnerabilita-zero-day-windows.jpg "Venerdì 17 per Windows: zero-day RedSun sfrutta Defender e concede privilegi SYSTEM")