W skrócie
Kwietniowe aktualizacje zabezpieczeń dla Windows 10, Windows 11 i Windows Server blokują sterownik psmounterex.sys, co powoduje błędy w tworzeniu i montowaniu kopii zapasowych w popularnych programach takich jak Macrium Reflect czy Acronis Cyber Protect Cloud. Microsoft tłumaczy zmianę poważną luką bezpieczeństwa (CVE-2023-43896) i zaleca aktualizację oprogramowania backupowego zamiast odinstalowywania poprawek. Problem dotyczy przede wszystkim administratorów IT oraz użytkowników, którzy polegają na obrazach dysków i montowaniu backupów do odzyskiwania plików.
Krytyczne backupy, problematyczne łatki
Kopie zapasowe to ostatnia linia obrony przed awarią dysku, ransomware czy przypadkowym usunięciem danych, dlatego wiele firm inwestuje w rozwiązania takie jak Macrium Reflect, Acronis Cyber Protect Cloud, UrBackup Server czy NinjaOne Backup. W kwietniu 2026 r. po zainstalowaniu comiesięcznych łatek zabezpieczeń część administratorów zauważyła jednak, że backupy przestają działać tak, jak dotychczas – szczególnie podczas montowania obrazów i przeglądania plików. Dopiero teraz Microsoft oficjalnie potwierdził, że źródłem problemu jest celowe zablokowanie konkretnego sterownika.
Chodzi o psmounterex.sys, sterownik używany przez wspomniane aplikacje do montowania obrazów dysków w systemie. Microsoft dodał go do listy sterowników uważanych za podatne i blokowanych przez mechanizm integralności kodu, przez co nie może on się już poprawnie uruchomić w najnowszych kompilacjach Windows. Więcej ogólnych informacji o wydaniach systemu i aktualizacjach można znaleźć na oficjalnej stronie Microsoft poświęconej Windows.
Dlaczego Microsoft blokuje psmounterex.sys
Decyzja Microsoftu wynika z luki CVE-2023-43896, opisanej jako błąd przepełnienia bufora w sterowniku psmounterex.sys, który umożliwia eskalację uprawnień lub wykonanie dowolnego kodu w systemie. W praktyce oznacza to, że złośliwy program mógłby wykorzystać tę podatność, aby przejąć pełną kontrolę nad komputerem z Windows. Z punktu widzenia bezpieczeństwa jest to więc poważny problem, którego nie da się zignorować.
W ramach kwietniowej aktualizacji zabezpieczeń Microsoft dodał psmounterex.sys do listy znanych, podatnych sterowników jądra i objął go blokadą w ramach mechanizmów Code Integrity. Firma wprost informuje, że aplikacje do tworzenia kopii zapasowych korzystające z tego sterownika mogą napotykać błędy przy montowaniu i zarządzaniu obrazami dysków i że jest to efekt uboczny świadomej decyzji, a nie „bug” w samej aktualizacji. Szczegółowe informacje o luce można znaleźć również w bazie NVD po numerze CVE-2023-43896.
Jak objawia się problem z backupami
Co ważne, same zadania tworzenia kopii zapasowych najczęściej nadal się wykonują – o ile oprogramowanie nie potrzebuje sterownika do zapisania obrazu. Największe problemy pojawiają się przy próbie zamontowania gotowego obrazu dysku tak, aby był widoczny w systemie jako kolejny wolumin i pozwalał przeglądać pojedyncze pliki. W tych scenariuszach użytkownicy widzą błędy związane z usługą VSS (Volume Shadow Copy Service).
Typowe komunikaty zgłaszane przez aplikacje backupowe dotyczą przekroczenia limitu czasu usługi VSS lub wskazują kod VSS_E_BAD_STATE, co oznacza, że system uznał stan mechanizmu kopii w tle za nieprawidłowy. Z perspektywy użytkownika wygląda to tak, jakby program po prostu „nie umiał” już zamontować archiwum, choć jeszcze przed kwietniową łatką wszystko działało poprawnie.
Jak sprawdzić, czy blokada dotyczy Twojego systemu
Microsoft opisuje prostą metodę weryfikacji, czy blokada sterownika działa na danym komputerze. Wystarczy uruchomić Podgląd zdarzeń i przejść do ścieżki: „Dzienniki aplikacji i usług -> Microsoft -> Windows -> CodeIntegrity -> Operacyjne”. Następnie należy poszukać zdarzenia o ID 3077 z identyfikatorem zasady {D2BDA982-CCF6-4344-AC5B-0B44427B6816}.
Jeśli taki wpis się pojawia, oznacza to, że plik psmounterex.sys został zablokowany w trybie aplikacji i system nie pozwoli na jego załadowanie. Dla administratorów jest to jasny sygnał, że przyczyną problemów z backupem nie jest awaria dysku czy błędna konfiguracja, ale właśnie nowa polityka bezpieczeństwa wprowadzona przez Microsoft. Dokumentację narzędzia Podgląd zdarzeń i innych funkcji administracyjnych można znaleźć na stronie pomocy technicznej Microsoft.
Co zaleca Microsoft – i czego nie robić
Naturalną reakcją wielu użytkowników jest chęć odinstalowania problematycznej aktualizacji lub wstrzymania łatek na serwerach produkcyjnych. Microsoft wyraźnie jednak odradza takie podejście i zaleca, aby nie wycofywać aktualizacji zabezpieczeń. Łatka chroni bowiem przed realnym zagrożeniem, a cofnięcie jej zniwelowałoby całą ochronę związaną z CVE-2023-43896.
Zamiast tego firma rekomenduje aktualizację oprogramowania do tworzenia kopii zapasowych do najnowszych wersji, które powinny zawierać poprawione sterowniki, niewrażliwe na opisaną lukę. Producenci aplikacji backupowych są już świadomi problemu i pracują nad wydaniami kompatybilnymi z nowymi zasadami bezpieczeństwa Windows. Informacje o aktualizacjach systemu i dobrych praktykach bezpieczeństwa są dostępne m.in. na oficjalnej stronie Microsoft dotyczącej aktualizacji.
Dodatkowe kłopoty z kwietniowymi aktualizacjami
Kwietniowy zestaw poprawek nie kończy się na problemach z backupami. Microsoft ostrzegł także, że część urządzeń z Windows Server 2025 po zainstalowaniu aktualizacji KB5082063 może uruchamiać się w trybie odzyskiwania BitLocker, prosząc użytkownika o podanie klucza odzyskiwania podczas startu systemu. Dla administratorów oznacza to dodatkową pracę związaną z odzyskiwaniem kluczy i wyjaśnianiem użytkownikom, dlaczego ich serwer nagle domaga się kodu, którego nigdy wcześniej nie widzieli.
Na tym jednak problemy się nie kończą: Microsoft musiał wydać także aktualizacje „poza harmonogramem”, by naprawić inne błędy w Windows Server, które powodowały niepowodzenia instalacji łatek i pętle ponownych uruchomień. To jeden z tych miesięcy, kiedy cykl „Patch Tuesday” przynosi administratorom tyle samo nowych zadań, co naprawionych luk. Dokumentację BitLocker i mechanizmów odzyskiwania można znaleźć na stronie Microsoft poświęconej zabezpieczeniom.
Podsumowanie
Kwietniowe aktualizacje dla Windows 10, Windows 11 i Windows Server pokazują klasyczny konflikt między bezpieczeństwem a kompatybilnością: aby zamknąć groźną lukę w sterowniku psmounterex.sys, Microsoft świadomie naruszył działanie popularnych narzędzi backupowych. Z perspektywy bezpieczeństwa była to decyzja uzasadniona, ale dla administratorów oznacza konieczność szybkiej weryfikacji środowiska, aktualizacji oprogramowania i poinformowania użytkowników o możliwych problemach z montowaniem obrazów.
Najrozsądniejsze podejście to trzymanie się aktualnych łat, monitorowanie komunikatów producentów rozwiązań backupowych i jak najszybsza instalacja wersji kompatybilnych z nową polityką sterowników. Ten incydent jest też dobrym przypomnieniem, że strategia kopii zapasowych nie może opierać się na jednym narzędziu ani jednym scenariuszu odzyskiwania – warto mieć alternatywne ścieżki przywracania danych, które zadziałają nawet wtedy, gdy jedna z warstw zawiedzie.