KB5050009 falha no Windows 11 com erro 0x80070005: guia completo de solução

Ao tentar instalar a atualização cumulativa KB5050009, alguns PCs com Windows 11 exibem progresso travado em 0 % e, logo depois, a mensagem “Updates have failed” acompanhada do código 0x80070005 (Access Denied). Este artigo aprofunda as causas, apresenta soluções práticas para usuários domésticos e oferece um roteiro completo para administradores de TI que lidam com ambientes geridos por políticas de segurança avançadas como o Windows Defender Application Control (WDAC).

Índice

Sintomas observados

  • Windows Update inicia o download da KB5050009, mas não ultrapassa 0 %.
  • Após alguns minutos surge a notificação “Updates have failed”.
  • O código de erro é 0x80070005, indicando acesso negado a um recurso do sistema.
  • Em máquinas corporativas, o CBS.log revela bloqueio de leitura no arquivo C:\Windows\System32\CodeIntegrity\CiPolicies\Active\{GUID}.cip.

Entendendo o erro 0x80070005

OrigemSignificadoImpacto típico
Sistema de arquivosConta de serviço sem permissão na pasta ou arquivoFalha na extração do pacote
Política de integridadeWDAC em modo de imposição bloqueia modificaçõesFalha ao substituir binários assinados
Serviços de atualizaçãoCache corrompido do Windows UpdateLoop infinito de download

Por que a KB5050009 trava em 0 %

A maioria das falhas decorre de dois fatores — cache de download corrompido e políticas de integridade de código ativas. O serviço Windows Update usa o catálogo local para decidir o que precisa ser baixado. Se o catálogo estiver danificado, ele não prossegue e retorna 0x80070005. Já em ambientes corporativos, as políticas WDAC monitoram qualquer tentativa de substituir arquivos de sistema. Caso uma política ativa não reconheça o novo binário da atualização, a operação é barrada.

Solução rápida para computadores domésticos

Para usuários sem políticas WDAC, o procedimento abaixo soluciona a falha em mais de 90 % dos casos relatados:

  1. Abrir Configurações ▶ Windows Update.
  2. Clicar em Pausar atualizações por 1 semana (ou o menor período disponível).
  3. Esperar de 30 a 60 segundos e clicar em Retomar atualizações.
  4. Aguarde a verificação. A KB5050009 deve ser baixada e instalada normalmente.

Ao pausar, o Windows remove controles de estado do cache %windir%\SoftwareDistribution\Download\*. Quando as atualizações são retomadas, os arquivos temporários são reconstruídos, eliminando entradas corrompidas que causavam o bloqueio.

O que fazer se o Windows Update continuar falhando

AçãoComandoQuando usar
Verificar integridade dos arquivossfc /scannowDepois de pausar/retomar e antes de novo download
Reparar a imagem do sistemaDISM /Online /Cleanup-Image /RestoreHealthSe o SFC indicar erros que não pode corrigir
Resetar componentes do Windows Updatenet stop wuauserv
net stop bits
rename %windir%\SoftwareDistribution SoftwareDistribution.old
net start wuauserv
net start bits
Se a falha persistir após SFC/DISM

Cenário corporativo – impacto das políticas WDAC

Em redes geridas pelo Intune ou Active Directory, o WDAC pode operar em modo de imposição. Nesse modo, qualquer binário não explicitamente permitido é bloqueado, incluindo arquivos de atualização ainda não contemplados pela política.

Logs típicos no CBS.log:

Error    CSI    00000bc9@2025/06/18:15:42:15.201    (null)     Error - Overlap: Directory 
[\SystemRoot\System32\CodeIntegrity\CiPolicies\Active\{GUID}.cip] 
in update \??\C:\WINDOWS\servicing\Packages\...

Verificando se o WDAC está em modo de imposição

No PowerShell elevado, execute:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\\Microsoft\\Windows\\DeviceGuard

Se a propriedade RequiredPlatformSecurityFeatures retornar 1 ou 3, a imposição está ativa. Além disso, abra Visor de Eventos ▶ Microsoft ▶ Windows ▶ CodeIntegrity e procure eventos ID 3033 ou 3034 que contenham “Invalid signature” ou “Policy does not allow.”

Procedimento seguro para atualizar com WDAC

Se o WDAC estiver impedindo a atualização, as opções abaixo são recomendadas. A escolha depende do nível de governança de sua organização.

Pausa temporária via Intune

  1. Abra o Intune Admin Center.
  2. Navegue até Endpoint security ▶ Endpoint security ▶ Application control.
  3. Identifique o Policy ID aplicado ao grupo de dispositivos afetado.
  4. Altere Enforcement mode de Enforced para Audit only.
  5. Força a sincronização nos dispositivos (dsregcmd /sync ou Intune Sync).
  6. Instale a KB5050009.
  7. Retorne o modo para Enforced.

Adição do hash da atualização à allow list

Se a pausa não for permitida pela política, gere uma regra de exceção:

  1. Baixe o pacote MSU da KB5050009 no Microsoft Update Catalog.
  2. Extraia o conteúdo com Expand -F:* Windows11.0-KB5050009-x64.msu C:\Temp\KB5050009.
  3. Use New-CIPolicyRule -FilePath apontando para cada binário extraído.
  4. Assine e publique a nova política WDAC no mesmo grupo de equipamentos.

Grupo de segurança de manutenção

Crie um Maintenance Ring com atualizações automáticas, mas WDAC desativado. Os dispositivos são movidos temporariamente para esse grupo, recebem toda a pilha de manutenção e voltam ao grupo de produção.

Fluxo de decisão para administradores de TI

O diagrama abaixo mostra, em texto, as verificações aconselhadas:

[Início]
   ↓
WDAC ativo? ————→ Não —→ Limpar cache e tentar novamente
   |
   Sim
   ↓
Modo Audit? ———→ Sim —→ Instalar KB e monitorar logs
   |
   Não
   ↓
Janela de manutenção autorizada? —→ Sim —→ Pausar WDAC via Intune, instalar, reativar
   |
   Não
   ↓
Implantar allow list → Testar em piloto → Expandir para produção

Boas práticas para evitar problemas futuros

  • Mantenha a Stack Update (SSU) sempre instalada antes das cumulativas mensais.
  • Automatize a criação de exceções no WDAC usando pipelines de CI/CD que capturam os hashes dos binários recém‑lançados.
  • Implemente rings de implantação — Preview, Piloto, Produção — para detectar conflitos antecipadamente.
  • Use relatórios de Intune Analytics para monitorar eventos ID 3033/3034.
  • Documente qualquer takeown ou icacls aplicado manualmente; mudanças locais podem ser revertidas em um próximo hardening.

Perguntas frequentes

Posso simplesmente desativar o antivírus para instalar a atualização?

Desativar antivírus raramente resolve o erro 0x80070005, pois a causa principal é permissão no sistema de arquivos ou política WDAC. O antivírus geralmente opera em camada diferente.

Por que alguns PCs da mesma imagem instalam sem problemas?

A política WDAC pode ter sido atualizada após o provisionamento inicial, ou o cache do Windows Update ficou íntegro em certos PCs. Pequenas diferenças na linha do tempo levam a comportamentos divergentes.

O SFC /scannow corrige o erro?

Ele pode reparar DLLs de sistema corrompidas, mas não remove a restrição de execução imposta pelo WDAC. Use‐o para garantir partindo de uma base limpa antes de outras ações.

Conclusão

O erro 0x80070005 durante a instalação da KB5050009 tem soluções diferentes para contextos diferentes. Em PCs domésticos, pausar e retomar o Windows Update renova o cache e quase sempre resolve. Em ambientes corporativos, a chave está em revisar as políticas WDAC: pausar a imposição, adicionar exceções ou empregar grupos de manutenção. Esse procedimento garante que a atualização seja aplicada sem comprometer a postura de segurança da organização.

Índice