Come capisco se sono stato colpito dal problema?

I sintomi tipici sono: domain controller che si riavvia continuamente dopo l’installazione di KB5082063, log di sistema con eventi LSASS in crash (Event ID 1000 o 4625), Active Directory non disponibile dai client, autenticazione Kerberos/NTLM bloccata. Inoltre, su alcuni Windows Server 2025 l’aggiornamento non si installa, e su altri sistemi può apparire una richiesta inattesa di chiave di ripristino BitLocker dopo un riavvio. Se vedi uno di questi segnali subito dopo il patch cycle di aprile 2026, è molto probabile che sia il problema KB5082063.

Cosa devo fare adesso se ho già installato KB5082063?

Microsoft sta lavorando a una correzione definitiva: nel frattempo offre workaround tramite supporto enterprise. In attesa, le mitigazioni operative sono: (1) avviare il DC in modalità ripristino servizi directory e ripristinare uno snapshot pre-patch se disponibile; (2) per ambienti con più DC, isolare temporaneamente quello in crash e gestire le autenticazioni con i restanti, dando priorità al ripristino del Global Catalog; (3) tenere a portata di mano le chiavi di ripristino BitLocker dei server, dato che il problema correlato può richiederne l’inserimento manuale; (4) sospendere l’ulteriore distribuzione di KB5082063 sui DC non ancora aggiornati fino alla pubblicazione della fix definitiva.

Come si previene un problema simile alla prossima patch Microsoft?

Servono tre cose: una procedura di patch management strutturata che testi gli aggiornamenti Microsoft in un anello pilota prima dei DC produttivi; uno snapshot consistente o un backup applicativo del DC immediatamente prima di ogni patch (e una procedura di ripristino testata); un monitoraggio attivo di Microsoft Release Health e dei bollettini Microsoft 365 admin center, per intercettare gli avvisi su problemi noti senza dover scoprire il guasto in produzione. Per le PMI senza un team dedicato, esternalizzare il patch management con finestre controllate è spesso più sicuro che procedere "appena escono" gli aggiornamenti.

L’aggiornamento KB5082063 va comunque installato?

Sì, ma in modo controllato. KB5082063 contiene anche correzioni di sicurezza importanti che fanno parte del Patch Tuesday di aprile 2026 e che non si possono ignorare a lungo termine. Il consiglio è: pausare la distribuzione automatica della patch sui domain controller (specialmente quelli non Global Catalog in ambienti PAM) fino alla pubblicazione della fix Microsoft o di un workaround ufficiale, mantenere invece l’installazione su workstation, file server e server applicativi, monitorare il Release Health di Windows Server per la nota di risoluzione, e applicare la fix definitiva su tutti i DC con la stessa cautela.

KB5082063 di aprile 2026: domain controller in crash LSASS e BitLocker recovery, cosa fare

Q: Cosa è la patch KB5082063 e quali sistemi colpisce?

KB5082063 è l’aggiornamento di sicurezza cumulativo Microsoft di aprile 2026 per Windows Server. Microsoft ha confermato che, dopo l’installazione, alcuni domain controller possono entrare in un ciclo di riavvio infinito a causa di un errore in LSASS (Local Security Authority Subsystem Service). Il problema riguarda principalmente i controller di dominio che non sono Global Catalog, in ambienti con Privileged Access Management (PAM) attivo. Le versioni interessate sono Windows Server 2016, 2019, 2022, 23H2 e 2025.

Tutte le news

28 aprile 2026·MicrosoftWindows ServerActive DirectoryPatch ManagementCybersecurity

AggiornamentoKB5082063, aprile 2026

EffettiLSASS crash, BitLocker recovery

SistemiWindows Server 2016 → 2025

Cosa è successo

Dopo l’installazione dell’aggiornamento Microsoft KB5082063, distribuito con il Patch Tuesday di aprile 2026, alcuni domain controller Windows Server entrano in un ciclo di riavvio infinito a causa di un errore in LSASS (Local Security Authority Subsystem Service). Microsoft ha confermato il problema come «known issue» nel Release Health del prodotto, segnalando che riguarda principalmente i domain controller che non sono Global Catalog e che operano in ambienti con Privileged Access Management (PAM) attivo. Le versioni interessate sono Windows Server 2016, 2019, 2022, 23H2 e 2025.

Microsoft ha riconosciuto anche un secondo problema correlato: l’aggiornamento, in alcuni Windows Server 2025, non si installa correttamente, e su altri sistemi dopo l’installazione può apparire una richiesta inattesa della chiave di ripristino BitLocker — un evento che, se la chiave non è archiviata correttamente, può lasciare un server inaccessibile. La fix definitiva è in lavorazione; nel frattempo Microsoft offre workaround tramite supporto enterprise.

Come riconoscere il problema

I sintomi sono concreti e visibili in poche ore dopo l’installazione di KB5082063. Se uno dei seguenti si verifica subito dopo il patch cycle di aprile 2026, è molto probabile che sia il problema noto Microsoft:

Domain controller in riavvio continuo — il server si riavvia in loop, spesso senza completare l’avvio dei servizi. Negli Event Log compaiono crash di LSASS (Event ID 1000), errori 4625 di autenticazione fallita e voci dell’Application Log relative al subsystem di sicurezza.
Active Directory irraggiungibile — i client non riescono a fare logon, le policy di gruppo non si applicano, le chiamate Kerberos/NTLM falliscono. Se il DC affetto è l’unico raggiungibile per un sito, l’intera filiale resta scollegata.
Richiesta BitLocker recovery dopo riavvio — alcuni server, dopo il riavvio successivo all’installazione, mostrano la schermata di richiesta della chiave di ripristino BitLocker. Se la chiave non è archiviata in Active Directory o in Microsoft Entra ID, il sistema resta inaccessibile.
Installazione che fallisce su Windows Server 2025 — il pacchetto non si applica correttamente su alcuni sistemi 2025, lasciando il server in uno stato di patch parziale che può causare comportamenti anomali fino al successivo aggiornamento cumulativo.

Mitigazioni operative

In attesa della fix Microsoft, ecco le azioni di mitigazione che hanno effetto immediato in produzione:

1Sospendere KB5082063 sui DC non ancora aggiornati — usare WSUS, Windows Update for Business o le policy SCCM/Intune per mettere in pausa la distribuzione di KB5082063 sui domain controller in attesa della correzione, mantenendo invece la patch su workstation, file server e server applicativi.
2Ripristinare lo snapshot pre-patch sui DC affetti — se hai uno snapshot consistente del domain controller precedente all’installazione, il rollback è la via più rapida. Su un DC un rollback va sempre coordinato con la replica Active Directory per evitare USN rollback non intenzionali. Backup e disaster recovery.
3Isolare il DC in crash e bilanciare le autenticazioni — se sono presenti più domain controller, escludere temporaneamente quello affetto dalla risoluzione DNS dei client (rimuovendolo dai record SRV o spegnendolo) e indirizzare le autenticazioni verso i DC sani, dando priorità al Global Catalog.
4Recuperare le chiavi BitLocker dei server — verificare in anticipo che le recovery key dei server siano archiviate in Active Directory o Microsoft Entra ID. Per gli ambienti che non lo prevedono, è il momento di abilitare l’escrow automatico per evitare di trovarsi con un server cifrato e nessuna chiave a portata di mano. Microsoft 365 e identità.
5Aprire un caso enterprise con Microsoft — i workaround ufficiali per l’LSASS crash sono al momento erogati tramite supporto enterprise. Se il problema è bloccante, è la via ufficiale più rapida e tracciata.

Patch management strutturato come prevenzione

KB5082063 non è il primo aggiornamento Microsoft a creare problemi su componenti core dei domain controller, e non sarà l’ultimo. Lo stesso ciclo di aprile 2026 ha portato anche il tema Kerberos enforcement e RC4 su Active Directory. Per le PMI italiane la lezione operativa è la stessa: gli aggiornamenti Microsoft non si installano «al volo» sui sistemi critici. Servono finestre controllate, snapshot pre-patch, un anello pilota e una matrice di rollback documentata.

AtWorkStudio gestisce il patch management dei sistemi critici dei propri clienti con anelli di distribuzione, test pre-produzione, snapshot consistenti e finestre concordate per le installazioni ad alto rischio. Operiamo da Piacenza dal 2000. Siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001, qualificati ACN per servizi cloud SaaS, membri di Clusit (Associazione Italiana per la Sicurezza Informatica) e associati a Confindustria Piacenza nel cluster RICT.

Fonti

Microsoft Release Health — Windows Server, problema noto LSASS crash su domain controller dopo KB5082063 (aprile 2026)
Microsoft Security Update Guide — KB5082063, aprile 2026 (Windows Server 2016/2019/2022/23H2/2025)
Microsoft 365 admin center — segnalazione known issue richiesta BitLocker recovery key post-patch
Red Hot Cyber — «Allarme Microsoft: la patch di aprile può bloccare l’autenticazione aziendale» (20 aprile 2026)

Approfondisci

Servizi di Cybersecurity Microsoft 365 Backup e Disaster Recovery Incident Response & Recovery Kerberos enforcement e RC4 Contattaci

Domande frequenti

Risposte alle domande più comuni su KB5082063, LSASS crash sui domain controller e BitLocker recovery.

Domain controller in crash o patch da gestire?

Se hai installato KB5082063 e ti trovi con un DC in loop di riavvio, possiamo intervenire in emergenza. Se invece vuoi strutturare il patch management per evitare che capiti la prossima volta, possiamo aiutarti.

Contattaci Servizi di Cybersecurity

KB5082063:domain controller in crash dopo la patch di aprile