MENU
  1. Início
  2. Windows
  3. Windows Server
  4. Excel gera arquivos .tmp impossíveis de excluir no Windows Server? Veja a causa WatchGuard EPDR e o hotfix definitivo

Excel gera arquivos .tmp impossíveis de excluir no Windows Server? Veja a causa WatchGuard EPDR e o hotfix definitivo

Windows Server

Arquivos .tmp do Excel persistem no compartilhamento após o encerramento da aplicação; a causa é o driver de proteção de arquivos do WatchGuard EPDR e a correção oficial é aplicar o hotfix liberado em julho / 2024.

Índice

Visão geral do problema

Desde que os servidores Windows Server 2016 e 2019 receberam o “Cumulative Update” de junho / 2024, vários administradores relataram o surgimento de arquivos temporários do Excel — com nomes aleatórios como 78F9A289.tmp — que não podem ser removidos nem mesmo com privilégios de SYSTEM. Esses artefatos:

  • herdam uma DACL nula (lista de controle de acesso vazia), o que faz o Explorador exibir a mensagem “Você deve ter permissões de leitura…” sem usuários listados;
  • permanecem bloqueados mesmo depois que todas as sessões do Excel são fechadas e que as alças de arquivo foram liberadas;
  • resistem a técnicas avançadas de remoção (takeown, icacls /reset, psexec -s, etc.), retornando sempre “Access Denied”;
  • só desaparecem ao desmontar o volume ou reiniciar o servidor, reaparecendo logo após novo acesso via Excel compartilhado.

Efeitos práticos no ambiente

Em share folders de alto uso, centenas ou milhares de .tmp órfãos se acumulam rapidamente, poluindo a raiz da partilha, consumindo espaço de armazenamento e confundindo rotinas de backup e replicação. Além do impacto operacional, o incidente dificulta auditorias de segurança, pois objetos com DACL vazia podem disparar alertas de conformidade.

Diagnóstico – como rastrear o culpado

Para isolar a origem, várias equipes utilizaram:

  • Process Explorer para confirmar que nenhum processo do Office mantinha handles ativos;
  • Sysmon e ETW tracing para capturar eventos de criação dos arquivos temporários;
  • logs de file system filter drivers, observando que a extensão do WatchGuard EPDR (antigo Panda Adaptive Defense) era o último driver a tocar no objeto antes do bloqueio.

Um teste decisivo consistiu em desabilitar temporariamente o serviço do agente EPDR; instantaneamente, novos .tmp passaram a ser gerados apenas com o comportamento padrão (~$Documento.xlsx) e foram removidos ao fechar o workbook, provando a responsabilidade do driver.

Causa raiz em detalhes técnicos

O endpoint protection da WatchGuard intercepta operações de leitura e gravação para realizar análise de comportamento. Com a CU de junho, a Microsoft atualizou componentes internos da pilha SMB e do sistema de arquivos, introduzindo verificações extras de segurança. O driver da versão antiga do EPDR não reconhece uma nova flag de callback gerada pelo Excel para arquivos temporários em modo compartilhado. Como resultado, ele marca o objeto como “ainda em uso” e devolve ao kernel uma DACL vazia, impossibilitando qualquer acesso administrativo. Trata‑se, portanto, de uma incompatibilidade entre o driver EPDR e as rotinas de cache de arquivos atualizadas pela CU de junho; a atualização da Microsoft não é a causa direta, mas apenas tornou a falha visível.

Solução oficial (hotfix de julho / 2024)

  1. Abrir um ticket no portal de suporte da WatchGuard ou junto ao partner local, informando que o ambiente é afetado pelo bug dos “Excel .tmp undeletable”.
  2. Solicitar a versão de agente EPDR contendo o File Protection Driver v5.6.9.342 ou posterior, lançada em julho / 2024 (não distribuída via canal automático até o momento desta publicação).
  3. Planejar a janela de manutenção; o hotfix exige reinício do serviço (ou do servidor) para descarregar o driver antigo.
  4. Aplicar o pacote em cada servidor de arquivos (e, opcionalmente, em estações que hospedem shares); confirmar que o número de versão aparece no console central.

Após a atualização, novos arquivos temporários com nomes aleatórios deixam de surgir; apenas o tradicional ~$Documento.xlsx é criado e excluído automaticamente quando a última sessão do workbook é encerrada.

Como validar que o problema foi sanado

  • Iniciar o Excel em dois clientes, abrir o mesmo arquivo .xlsx via UNC e trabalhar por alguns minutos.
  • Buscar por *.tmp na pasta compartilhada. Se existirem apenas arquivos começados por ~$, o patch está correto.
  • Verificar, via sc query ou via console EPDR, se o driver reporta versão ≥ 5.6.9.342.

Workarounds caso o hotfix ainda não possa ser instalado

AlternativaEficáciaObservações
Reiniciar o servidor ou desmontar/remontar o volumeLibera os arquivos existentesNão evita que novos .tmp surjam
Desativar ou remover temporariamente o EPDRElimina o sintoma na origemO host fica sem proteção antimalware até reativação
Abrir o Excel em Safe Mode, desmarcar “Allow caching of share”, encerrar sessões SMBNão resolveConfirmado sem sucesso em testes de campo

Automatizando a limpeza pós‑boot

Embora o hotfix seja o caminho definitivo, às vezes a aprovação leva semanas. Para evitar que o share encha, recomenda‑se criar uma tarefa agendada em cada inicialização do servidor:

PowerShell.exe -NoLogo -NoProfile -Command ^
    "Get-ChildItem '\\Servidor\Dados' -Filter '*.tmp' -Recurse `
     | Where-Object {$_.CreationTime -lt (Get-Date).AddHours(-2)} `
     | Remove-Item -Force -ErrorAction SilentlyContinue"

O script remove apenas arquivos .tmp com mais de duas horas, reduzindo o risco de apagar temporários legítimos ainda em uso.

Boas práticas de prevenção

  • Manter o agente EPDR atualizado assim que novas versões forem publicadas no canal estável.
  • Monitorar espaço em disco com alertas em 80 % de ocupação para impedir falhas de serviço.
  • Registrar a correção no change log do servidor, facilitando auditorias e revisões futuras.
  • Rever políticas de antivírus para shares que hospedam arquivos Office, validando exceções recomendadas pela Microsoft e pelo fornecedor de segurança.

Perguntas frequentes (FAQ)

O Cumulative Update de junho deve ser removido?

Não. A CU inclui correções de segurança críticas; o problema está no driver de terceiros. Remover a CU expõe o sistema a vulnerabilidades e não é suportado pela Microsoft.

Outras aplicações, além do Excel, são afetadas?

Até o momento só foram reportados casos envolvendo Excel em modo compartilhado. Testes com Word, PowerPoint e arquivos genéricos não reproduziram o comportamento.

VMs de desktop virtual (VDI) precisam do hotfix?

Somente se hospedarem shares SMB ou se utilizarem armazenamento redirecionado para perfis do Office. Caso contrário, basta atualizar os servidores de arquivos.

Existe risco de corrupção de dados?

Não há evidência de perda de conteúdo; os arquivos .tmp fugitivos são cópias de trabalho e não afetam o .xlsx original. O impacto é administrativo e de consumo de espaço.

Resumo prático para quem está com pressa

Se o seu servidor Windows Server 2016 ou 2019 passou a acumular arquivos .tmp irremovíveis depois da CU de junho / 2024, instale imediatamente o hotfix do WatchGuard EPDR (driver v5.6.9.342 ou superior) — ou, enquanto isso, desative o agente para eliminar o sintoma. Problema resolvido.

Windows Server
Excel hotfix tmp WatchGuard EPDR Windows Server
Índice