Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 2

[English]Die Anmeldeinformationsverwaltung (‘Credentials Manager’) ist beim Windows 10 Mai 2020 Update (Version 2004) sowie bei Windows 10 20H2 unbrauchbar, weil sie Zugangsdaten, von Anwendungen, die auf dieser Funktion aufsetzen, vergisst. In Teil 1 hatte ich das Thema ja bereits angesprochen. In Teil 2 trage ich einige zusätzliche Informationen zu einer möglichen Ursache nach.


Anzeige

Im Beitrag Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 1 habe ich das Problem der vergessenen Anmeldeinformationen in Windows 10 2004/20H2 aufbereitet. Dort findet sich auch der Hinweis, dass die Informationen zwar noch in der Anmeldeinformationsverwaltung (‘Credentials Manager’) gespeichert sind. Ein kaputtes Manifest, verursacht durch eines der letzten Windows 10-Updates, soll dazu führen, dass die Verschlüsselung mittels der Data Protection-API mit einem Benutzer-Key nicht mehr funktionieren. Es muss der System-Key verwendet werden – was ich im Beitrag als Workaround skizziert habe.

Eine mögliche, tiefere Ursache

Blog-Leser Bernhard Diener wies in diesem Kommentar darauf hin, dass Tavis Ormandy vom Google Project Zero diesen Fehler schon vor einiger Zeit analysiert habe. Ormandi hat Ende September 2020 in einer Reihe von Tweets seine Erkenntnisse offen gelegt.

Windows 10 2004 Credential Manager-Bug

Zeitgleich bin ich bei den Kollegen von Bleeping Computer auf diesen Artikel gestoßen, der das ebenfalls anspricht. Im Microsoft Answers-Forum gibt es diesen umfangreichen Thread, wo sich jemand initial über den systemweiten Passwort-Verlust beklagt. Viele Nutzer bestätigen den Bug. Ormandy hat bei seiner Analyse herausgefunden, dass ein bestimmter geplanter Task die CryptUnprotectData() unterbrechen kann. Führt man in einer administrativen PowerShell-Konsole folgenden Befehl aus:

Get-ScheduledTask | foreach { If ($_.Principal.LogonType -eq ‚S4U‘) { $_ } }

und tauchen dort Aufgaben auf, gibt es ein Problem. Sobald die Aufgaben ausgeführt werden, funktioniert die DPAPI solange nicht mehr, bis eine Neuauthentifizierung erfolgt ist.  Schuld sind geplante Aufgaben, die mit der Option S4U (Services For User) des Taskplaners erstellt wurden.

Ursache ist ein Fehler im RPC UBPM (Unified Background Process Manager), der dazu führt, dass gespeicherte Anmeldedaten im Local Security Authority Subsystem Service (LSASS) entfernt werden. Dadurch verlieren Anwendungen entweder den Anmeldestatus oder melden Benutzer von ihren Konten ab. In der Ereignisanzeige sollte dann die Eventid 8198 oder NTE_BAD_KEY_STATE als Ereignis eingetragen werden.

Ein vorgeschlagener Workaround

Ormadis schlägt vor, alle geplanten Aufgaben, die von S4U ausgeführt werden, zu deaktivieren. Hierzu ist in einer administrativen PowerShell-Konsole folgender Befehl auszuführen:


Anzeige

Get-ScheduledTask | foreach { If (([xml](Export-ScheduledTask -TaskName $_.TaskName -TaskPath $_.TaskPath)).GetElementsByTagName("LogonType").'#text' -eq "S4U") { $_.TaskName } }

Der Befehl listet die Aufgaben, die durch S4U geplant werden, auf. Notieren Sie alle geplanten Aufgaben, die als Ausgabe des Befehls aufgelistet werden, und deaktivieren Sie sie mit Hilfe des Windows-Taskplaners. Dieser lässt sich als Administrator über das Suchfeld der Taskleiste öffnen. Nachdem alle Aufgaben deaktiviert wurden, soll Windows neu gestartet werden. Solange die Aufgaben nicht ausgeführt werden, sollten die Anmeldeinformationen wieder erhalten bleiben.

Microsoft untersucht, Fix noch nicht verfügbar

Eric Law von Microsoft hat sich Ende September 2020 bei Ormandi in diesem Chromium-Bug-Tracker-Thread gemeldet und angekündigt, dass man den Bug untersuche. Bis zum 9. November 2020 gab es aber von Microsoft noch keine Rückmeldung, ob und wann dieser Bug beseitigt wird (lediglich dieser Artikel zu Outlook wurde zum 6.11.2020 publiziert, siehe auch folgende Kommentare). Aktuell empfiehlt es sich, auf Windows 10 Version 1909 zurück zu gehen, oder den in Teil 1 erwähnten Ansatz zu versuchen.

Ergänzung: Es sieht so aus, als ob Microsoft mit den Windows 10 November 2020 Updates das Problem behoben hat, siehe Patchday: Windows 10-Updates (10. November 2020).

Artikelreihe:
Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 1
Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 2

Ähnliche Artikel:
Windows 10 2004: ‘Credentials Manager’ kaputt [Workaround]
Windows 10 vergisst Zertifikate beim Upgrade
Microsoft bestätigt Zertifikatsverlust bei Windows 10-Upgrades
Office 365: Download scheitert nach Oktober 2020 Updates
Windows 10 20H2: Abstürze von lsass.exe (Okt. 2020)
Windows 10 2004/20H2 lsass.exe-Absturzproblem (Okt. 2020) bestätigt
Windows 10: Ist der Defender GUI-Bug zu definierten Ausschlüssen gefixt?
Windows 10 2004: Ist der Black-Sceen-Bug bei externen Display gefixt?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Problemlösung, Windows 10 abgelegt und mit Problem. Fix, Windows 10 2004 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Windows 10 2004/20H2 und der kaputte ‘Credentials Manager’: Ursache und Workaround – Teil 2

  1. Triceratops sagt:

    Das ist gut zu Wissen. Ich plane den Umstieg von derzeit 1909 auf 20H2 aber eh erst ende Januar 2021 / Anfang Februar 2021. Hab beschlossen nur noch zu den H2 Updates Windows 10 zu Aktualisieren (Also nur 1x Pro Jahr), aufgrund der Fehleranfälligkeit der größeren H1 Updates.

  2. Peter Patric Pan sagt:

    Der Workaround hat bei mir geholfen. Danach habe ich das November Update gemacht. Empfehlen Sie den Reg Eintrag aus dem Workaround wieder zu löschen?

    Vielen Dank nochmals für den Workaround – es war einer der Probleme die Stunden bei Usern erspart hat – gerade in Kleinunternehmen – wo ist der Donate-Button? Die Werbung klicke ich teilweise eh schon an, weil es mich interessiert.

    • Günter Born sagt:

      Sobald ein Fix von Microsoft verfügbar ist, würde ich persönlich den Key aus Teil 1 wieder löschen.

      Zum Donate-Button: In der Seitenleiste gibt es eine Spenden-Schaltfläche für Paypal.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.