Ao tentar instalar a atualização cumulativa KB5050009, alguns PCs com Windows 11 exibem progresso travado em 0 % e, logo depois, a mensagem “Updates have failed” acompanhada do código 0x80070005 (Access Denied). Este artigo aprofunda as causas, apresenta soluções práticas para usuários domésticos e oferece um roteiro completo para administradores de TI que lidam com ambientes geridos por políticas de segurança avançadas como o Windows Defender Application Control (WDAC).
Sintomas observados
- Windows Update inicia o download da KB5050009, mas não ultrapassa 0 %.
- Após alguns minutos surge a notificação “Updates have failed”.
- O código de erro é 0x80070005, indicando acesso negado a um recurso do sistema.
- Em máquinas corporativas, o CBS.log revela bloqueio de leitura no arquivo
C:\Windows\System32\CodeIntegrity\CiPolicies\Active\{GUID}.cip.
Entendendo o erro 0x80070005
| Origem | Significado | Impacto típico |
|---|---|---|
| Sistema de arquivos | Conta de serviço sem permissão na pasta ou arquivo | Falha na extração do pacote |
| Política de integridade | WDAC em modo de imposição bloqueia modificações | Falha ao substituir binários assinados |
| Serviços de atualização | Cache corrompido do Windows Update | Loop infinito de download |
Por que a KB5050009 trava em 0 %
A maioria das falhas decorre de dois fatores — cache de download corrompido e políticas de integridade de código ativas. O serviço Windows Update usa o catálogo local para decidir o que precisa ser baixado. Se o catálogo estiver danificado, ele não prossegue e retorna 0x80070005. Já em ambientes corporativos, as políticas WDAC monitoram qualquer tentativa de substituir arquivos de sistema. Caso uma política ativa não reconheça o novo binário da atualização, a operação é barrada.
Solução rápida para computadores domésticos
Para usuários sem políticas WDAC, o procedimento abaixo soluciona a falha em mais de 90 % dos casos relatados:
- Abrir Configurações ▶ Windows Update.
- Clicar em Pausar atualizações por 1 semana (ou o menor período disponível).
- Esperar de 30 a 60 segundos e clicar em Retomar atualizações.
- Aguarde a verificação. A KB5050009 deve ser baixada e instalada normalmente.
Ao pausar, o Windows remove controles de estado do cache %windir%\SoftwareDistribution\Download\*. Quando as atualizações são retomadas, os arquivos temporários são reconstruídos, eliminando entradas corrompidas que causavam o bloqueio.
O que fazer se o Windows Update continuar falhando
| Ação | Comando | Quando usar |
|---|---|---|
| Verificar integridade dos arquivos | sfc /scannow | Depois de pausar/retomar e antes de novo download |
| Reparar a imagem do sistema | DISM /Online /Cleanup-Image /RestoreHealth | Se o SFC indicar erros que não pode corrigir |
| Resetar componentes do Windows Update | net stop wuauserv | Se a falha persistir após SFC/DISM |
Cenário corporativo – impacto das políticas WDAC
Em redes geridas pelo Intune ou Active Directory, o WDAC pode operar em modo de imposição. Nesse modo, qualquer binário não explicitamente permitido é bloqueado, incluindo arquivos de atualização ainda não contemplados pela política.
Logs típicos no CBS.log:
Error CSI 00000bc9@2025/06/18:15:42:15.201 (null) Error - Overlap: Directory
[\SystemRoot\System32\CodeIntegrity\CiPolicies\Active\{GUID}.cip]
in update \??\C:\WINDOWS\servicing\Packages\...
Verificando se o WDAC está em modo de imposição
No PowerShell elevado, execute:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\\Microsoft\\Windows\\DeviceGuard
Se a propriedade RequiredPlatformSecurityFeatures retornar 1 ou 3, a imposição está ativa. Além disso, abra Visor de Eventos ▶ Microsoft ▶ Windows ▶ CodeIntegrity e procure eventos ID 3033 ou 3034 que contenham “Invalid signature” ou “Policy does not allow.”
Procedimento seguro para atualizar com WDAC
Se o WDAC estiver impedindo a atualização, as opções abaixo são recomendadas. A escolha depende do nível de governança de sua organização.
Pausa temporária via Intune
- Abra o Intune Admin Center.
- Navegue até Endpoint security ▶ Endpoint security ▶ Application control.
- Identifique o Policy ID aplicado ao grupo de dispositivos afetado.
- Altere Enforcement mode de Enforced para Audit only.
- Força a sincronização nos dispositivos (
dsregcmd /syncou Intune Sync). - Instale a KB5050009.
- Retorne o modo para Enforced.
Adição do hash da atualização à allow list
Se a pausa não for permitida pela política, gere uma regra de exceção:
- Baixe o pacote MSU da KB5050009 no Microsoft Update Catalog.
- Extraia o conteúdo com
Expand -F:* Windows11.0-KB5050009-x64.msu C:\Temp\KB5050009. - Use
New-CIPolicyRule -FilePathapontando para cada binário extraído. - Assine e publique a nova política WDAC no mesmo grupo de equipamentos.
Grupo de segurança de manutenção
Crie um Maintenance Ring com atualizações automáticas, mas WDAC desativado. Os dispositivos são movidos temporariamente para esse grupo, recebem toda a pilha de manutenção e voltam ao grupo de produção.
Fluxo de decisão para administradores de TI
O diagrama abaixo mostra, em texto, as verificações aconselhadas:
[Início] ↓ WDAC ativo? ————→ Não —→ Limpar cache e tentar novamente | Sim ↓ Modo Audit? ———→ Sim —→ Instalar KB e monitorar logs | Não ↓ Janela de manutenção autorizada? —→ Sim —→ Pausar WDAC via Intune, instalar, reativar | Não ↓ Implantar allow list → Testar em piloto → Expandir para produção
Boas práticas para evitar problemas futuros
- Mantenha a Stack Update (SSU) sempre instalada antes das cumulativas mensais.
- Automatize a criação de exceções no WDAC usando pipelines de CI/CD que capturam os hashes dos binários recém‑lançados.
- Implemente rings de implantação — Preview, Piloto, Produção — para detectar conflitos antecipadamente.
- Use relatórios de Intune Analytics para monitorar eventos ID 3033/3034.
- Documente qualquer takeown ou icacls aplicado manualmente; mudanças locais podem ser revertidas em um próximo hardening.
Perguntas frequentes
Posso simplesmente desativar o antivírus para instalar a atualização?
Desativar antivírus raramente resolve o erro 0x80070005, pois a causa principal é permissão no sistema de arquivos ou política WDAC. O antivírus geralmente opera em camada diferente.
Por que alguns PCs da mesma imagem instalam sem problemas?
A política WDAC pode ter sido atualizada após o provisionamento inicial, ou o cache do Windows Update ficou íntegro em certos PCs. Pequenas diferenças na linha do tempo levam a comportamentos divergentes.
O SFC /scannow corrige o erro?
Ele pode reparar DLLs de sistema corrompidas, mas não remove a restrição de execução imposta pelo WDAC. Use‐o para garantir partindo de uma base limpa antes de outras ações.
Conclusão
O erro 0x80070005 durante a instalação da KB5050009 tem soluções diferentes para contextos diferentes. Em PCs domésticos, pausar e retomar o Windows Update renova o cache e quase sempre resolve. Em ambientes corporativos, a chave está em revisar as políticas WDAC: pausar a imposição, adicionar exceções ou empregar grupos de manutenção. Esse procedimento garante que a atualização seja aplicada sem comprometer a postura de segurança da organização.