Lithnet Password Protection und RunAsPPL

Symptom

Wenn der geschützte Modus / protected process (RUNASPPL) für Local Security Authority (LSA) aktiviert wird, so funktioniert der Lithnet Password Protection bzw. der Filter nicht.
Getestet wurde unter Windows Server 2012R2 und 2016.

Fehlerbild

Beim Start des Systems und somit dem Laden von lithnetpwdf.dll wird das Laden verweigert.
Ein System Event Log Error Eintrag mit der ID 16953 im Directory-Services-SAM wird generiert, mit dem Text “Fehler 577 beim Laden der Kennwortbenachrichtigungs-DLL lithnetpwdf.dll” wie folgt:

Ereignis 16953Quelle: © Alexander Busch

Allerdings scheint es einen Zusammenhang mit der verwendeten Microsoft Visual C++ Runtime zu geben:

Ereignis 3033Quelle: © Alexander Busch

Obgleich die Datei lithnetpwdf.dll aber auch vcruntime140.dll über eine gültige Signatur verfügt:

vcruntime signedQuelle: © Alexander Busch

Workaround

  • Variante 1 ist der Verzicht auf den Einsatz des Lithnet-Passwortfilters.
  • Variante 2 wäre der Verzicht auf den geschützten Modus für LSA.

Lösung

Suche ich aktuell noch, siehe auch https://github.com/lithnet/ad-password-protection/issues/83

Update 31.08.2022

Die neue Version 1.0.7242 behebt diesen Fehler.

Teile diesen Beitrag
Schlagwörter: , , , , , ,

Schreibe einen Kommentar