Resumo: Desde o Patch Tuesday de abril de 2025, administradores relatam que o cliente de Área de Trabalho Remota fecha imediatamente após a autenticação, devolvendo o código 0x3 (erro estendido 0x11). O problema está ligado à falha de inicialização do driver Microsoft Remote Display Adapter (rdpidd.inf), incluído no pacote cumulativo KB5055528.
Por que a sessão RDP cai logo após fazer logon?
O subsistema gráfico do RDP depende de um adaptador de vídeo “virtual” (IDD) que redireciona os quadros renderizados no host para o cliente. Quando o serviço WUDFRd tenta carregar o rdpidd.sys e falha, o handshake gráfico não se completa; o servidor interpreta a sessão como sem canal de apresentação disponível e encerra com 0x3. O evento correspondente em Applications and Services Logs → Microsoft → Windows → RemoteDesktopServices-RdpCoreTS aponta a falha de arranque do “Remote Display Adapter”.
O que mudou no KB5055528?
O cumulative de abril introduziu melhorias no pipeline gráfico remoto para acomodar novas APIs DirectX 12 Workload Aware, além de reforços de segurança na assinatura de drivers de modo usuário (UMDF). Parte dessas mudanças alterou o GUID interno usado para enumerar o adaptador virtual. Em sistemas em que:
- o
rdpidd.sysse encontra em cache de driver anterior; - há políticas de grupo que restringem instalação/reinstalação de dispositivos;
- ou há EDR/antivírus interceptando chamadas de inicialização de driver;
o Windows atinge uma corrida de verificação de assinatura → falha de carga → sessão abortada.
Soluções que resolveram para a maioria dos ambientes
| Prioridade | Ação | Observações práticas |
|---|---|---|
| ① | Desinstalar KB5055528 | Acesse Configurações → Windows Update → Histórico → Desinstalar atualizações. A remoção reativa o RDP. No entanto, cumulativos posteriores podem trazê‑lo de volta — considere ocultar a atualização com wushowhide.diagcab. |
| ② | Remover ou desativar o “Microsoft Remote Display Adapter” | No Gerenciador de Dispositivos (exibir dispositivos ocultos) selecione Desinstalar. Script remoto:pnputil /remove-device RdpIdd_IndirectDisplayO Windows recriará o dispositivo numa versão funcional após reiniciar. |
| ③ | Reinstalar os drivers de GPU | Faça limpeza com ferramenta como DDU no Safe Mode, depois instale o pacote oficial mais recente (NVIDIA, AMD, Intel). Isso força o re‑enumeration do stack gráfico. |
| ④ | Atualizar/remover antivírus ou EDR | Releases antigos de Carbon Black, Sophos e McAfee bloqueiam transições de modo seguro do UMDF. Atualize para o build que suporte o novo GUID ou coloque o processo rdpiddmgr.exe em bypass. |
Procedimentos passo a passo
1. Verificar logs e estado do serviço WUDFRd
Get-WinEvent -LogName "Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational" |
Where-Object {$_.Id -eq 242} |
Select-Object -First 10 | Format-List TimeCreated,MessageSe encontrar “Failed to initialize Microsoft Remote Display Adapter”, siga para o próximo passo.
# Confirmar tipo de inicialização
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\WUDFRd" -Name StartO valor deve ser 2 (Automático). Caso contrário:
Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\WUDFRd" -Name Start -Value 22. Desinstalar seletivamente a atualização pelo PowerShell
wusa /uninstall /kb:5055528 /quiet /norestartAgende uma reinicialização fora do horário comercial.
3. Bloquear reinstalação temporária
Hide-WindowsUpdate -KBArticleID 5055528 -VerboseRequer o módulo PSWindowsUpdate. Monitorar mensalmente se a Microsoft publicou correção — remova então o bloqueio.
4. Automação via Ansible ou Intune
Para grandes parques, crie compliance profile que verifica rdpidd.sys < 10.0.22631.3676. Caso detectado, marque dispositivo como não‑conforme e aplique script de remoção.
Correções alternativas ou situacionais
| Situação | Medida sugerida |
|---|---|
| Sistema com permissões NTFS alteradas | Garanta que Users possua leitura em C:\. Sem essa permissão, rdpinit.exe falha ao enumerar drivers. |
| Políticas de Grupo restritivas | Inspecione GPOs que limitam Device Installation, RemoteFX deprecation, UDP transport ou Hardware acceleration. Remova restrições temporariamente e teste. |
| Exibição 4 K em hardware antigo | Force a sessão a 1080p (mstsc.exe → Mostrar Opções → Exibição). Chipsets HD 4000 relatam falha no PresentMon quando a resolução excede 2 K. |
| Tráfego intenso ou MTU baixo | Prove um canal cabeado ou reduza MTU de 1500→1400 e teste Ping -f -l 1472. Perda ou fragmentação excessiva agrava timeouts de IDD. |
| Restauração de Sistema | Se houver Restore Point ou snapshot anterior a abril 2025, restaurar pode ser mais rápido do que depurar em produção. |
Como evitar a recorrência em cumulativos futuros
- Pipeline de testes próprio – mantenha um clone de laboratório atualizado onde os cumulat ivos sejam aplicados uma semana antes do parque produtivo.
- Inventário de drivers – documente versões de GPU e de
rdpidd.sys. Ferramentas como Winget inventory export podem gerar CSV que automatiza comparações. - Acesso alternativo – habilite WMI, SSH (Win32‑OpenSSH) e PowerShell Remoting; assim, mesmo sem RDP, há como executar scripts de correção.
- Snapshots ou Checkpoints – em VMs Hyper‑V, ative Production Checkpoint antes do Patch Tuesday. Em hosts físicos, utilize solução de backup por imagem.
- Documentação de impacto – registre, em runbook, quais serviços dependem de
WUDFRd; quando a Microsoft lançar um out‑of‑band, será fácil validar.
Perguntas frequentes
É seguro manter o KB5055528 removido?
Sim, desde que outras correções de segurança sejam aplicadas individualmente. Avalie caso a caso: se o servidor fica exposto apenas internamente, o risco de omitir o cumulativo é menor que a indisponibilidade operacional do RDP.
Usuários veem tela preta e depois desconexão. É o mesmo erro?
Provavelmente. Tela preta indica que a negociação TLS ocorreu, mas o canal gráfico não. Verifique o Event ID 1111 (Driver driver_name requested uninstalled) no log de Remote Desktop.
Instalar via DISM em vez de WUSA ajuda?
Não. DISM /Add-Package usa os mesmos binários. O cerne é o arquivo rdpidd.inf; se ele não puder enumerar o dispositivo, a falha ocorrerá.
Há Hotfix da Microsoft?
Até julho de 2025, não. O Escalation Engineer no canal oficial informou que a equipe Remote Display Protocol “está reproduzindo o cenário em laboratório”. A recomendação oficial é reverter a atualização.
Posso apenas parar o serviço WUDFRd?
Não. Outros dispositivos (Sensor de Impressão Digital, Tablets, IoT) dependem dele. Interrompê‑lo causaria falhas periféricas adicionais.
Scripts prontos para o dia a dia
Relatório de hosts afetados em domínio AD
Invoke-Command -ComputerName (Get-ADComputer -Filter *).Name -ScriptBlock {
if (Get-HotFix -Id KB5055528 -ErrorAction SilentlyContinue) {
$ev = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational'; Id=242} -MaxEvents 1
if ($ev) { "$env:COMPUTERNAME - KB5055528 - Falha RDP" }
}
}Rollback automático com agendamento de reinício
schtasks /Create /TN "RollbackRDP" /TR "wusa /uninstall /kb:5055528 /quiet /norestart & shutdown -r -t 60" /SC ONCE /ST 23:00Boas práticas preventivas
- Controle de versões – mantenha planilha ou CMDB com versão de cada driver crítico.
- Comunicação pró‑ativa – informe usuários sobre janela de risco; reduza chamados repetitivos.
- Monitoramento de porta 3389 – configure alertas quando a contagem de logons falhados aumentar repentinamente.
- Capacitação – time de help desk deve reconhecer o padrão “erro 0x3, estendido 0x11” no cliente e escalar mais rápido.
- Segurança versus disponibilidade – avalie níveis de exposição: para servidores em DMZ, pode ser mais crítico aplicar cumulativo e usar VPN ou Bastion que não dependa de RDP direto.
Conclusão
O colapso de sessões RDP após o KB5055528 ilustra como alterações aparentemente internas ao driver podem derrubar serviços amplamente utilizados. Até que a Microsoft libere correção definitiva, a combinação de rollback + bloqueio + limpeza de driver provou ser eficaz na maioria dos cenários corporativos. Ao seguir os passos detalhados neste guia, você restaura o acesso remoto em minutos, mantém a segurança razoável do sistema e se antecipa a futuras quebras introduzidas em cumulat ivos similares.