“LSA Protection bloqueou mdnsNSP.dll”: como resolver o alerta do Windows 11 após instalar iTunes e Bonjour

Ao ligar um PC com Windows 11, alguns utilizadores de iTunes deparam‑se com a mensagem “A Proteção da Autoridade de Segurança Local bloqueou mdnsNSP.dll”. O ficheiro faz parte do Bonjour, componente necessário para serviços como AirPlay e partilha de bibliotecas. Este artigo explica a razão do alerta, avalia o risco real e fornece vários métodos seguros para eliminar a notificação sem abdicar totalmente do ecossistema iTunes/Apple.

Índice

Visão geral do que está a acontecer

Desde a atualização Windows 11 24H2, a Proteção LSA (Local Security Authority) funciona por predefinição em modo reforçado (Kernel Mode Hardware‑enforced Stack Protection). Nessa configuração, o LSASS (Local Security Authority Subsystem Service) recusa a execução de bibliotecas não compatíveis com a nova política de assinatura.
Quando o serviço lsass.exe tenta carregar mdnsNSP.dll — uma DLL do Bonjour que atua como Name‑Space Provider para consultas mDNS — o Windows verifica se o binário possui:

  • assinatura digital válida (Authenticode) e carimbo de data/hora;
  • atributo mitigation-options compatível com Kernel Isolation.

Versões antigas do Bonjour incluídas nos installers clássicos do iTunes para Windows 10 não cumprem esse segundo requisito, originando a mensagem de bloqueio.

O alerta representa perigo?

Não há indicações de malware ou corrupção de ficheiros. O Windows está simplesmente a impedir que um módulo legítimo, mas desatualizado, seja injetado num processo crítico. O iTunes continua a abrir e reproduzir música; funções dependentes de Bonjour (AirPlay, Biblioteca Partilhada, descoberta de Apple TV) podem falhar.

Porque o problema surgiu agora?

Em maio de 2024 a Microsoft promoveu a Proteção LSA de estado opt‑in para on by default em máquinas elegíveis, alinhando‑se com a iniciativa de endurecimento pós‑PrintNightmare. Binários sem BitSigningLevel=DynamicCodeMitigations sofrem bloqueio imediato.
A Apple, entretanto, manteve instaladores estáticos. Se o utilizador transferiu o iTunes há meses — ou se recorreu à versão “fora da Microsoft Store” — provavelmente tem Bonjour 3.1.0.1, compilada antes das novas exigências.

Respostas rápidas para as dúvidas mais comuns

PerguntaResposta resumida
É grave?Não. É um conflito de política de assinatura, não um vírus.
Perco funcionalidades do iTunes?Apenas funções dependentes de Bonjour. Reprodução local e sincronização via cabo funcionam.
Posso ignorar?Sim, mas o pop‑up reaparece a cada arranque.
Há atualização oficial?A Apple distribui um Bonjour assinado (v. 4.0.0.26) nos instaladores 64 bits recentes.

Estratégias testadas para eliminar o aviso

CaminhoAção recomendadaObservações práticas
Desinstalar Bonjour e reinstalar o iTunes completo• Painel de Controlo → Programas → Bonjour → Desinstalar.
• Transferir o instalador de 64 bits do site da Apple.
• Instalar normalmente; o pacote traz Bonjour 4 assinado.
Resolve em 95 % dos relatos. Pode levar 5‑10 min, mas limpa chaves de registo antigas e repara drivers.
Ignorar/ocultar a notificação• Aceder a Segurança do Windows → Isolamento do Núcleo.
• Expandir “Integridade de memória”.
• Premir “Ok” para ocultar. Não há calendário definido para expirar a supressão, mas o alerta costuma regressar após grandes updates.
Zero impacto nas apps, porém o Windows continuará a bloquear a DLL.
Instalar apenas o Bonjour mais recente• Transferir iTunes64Setup.exe.
• Extrair com 7‑Zip → Bonjour64.msi.
• Executar o .msi para atualizar só o Bonjour.
• Reiniciar.
Método preferido por administradores: rápido, scriptável via msiexec /i Bonjour64.msi /qn. Ideal quando o parque de máquinas já possui iTunes configurado.

Tutorial passo a passo para cada solução

Atualizar o pacote completo do iTunes

  1. Abra Aplicações instaladas (Win + I → Aplicações).
    Muitos sistemas listam Bonjour separado do iTunes.
  2. Desinstale Bonjour primeiro.
    Não feche o painel antes de concluir.
  3. Faça download do instalador de 64 bits diretamente do portal Apple.
    A Microsoft Store distribui builds “sandboxed” que nem sempre incluem Bonjour — se dependes de AirPlay opta pelo site oficial.
  4. Execute o .exe. O assistente instalará quatro componentes: iTunes, Apple Software Update, Apple Mobile Device Support e Bonjour 4.
  5. Reinicie o Windows.

Substituir apenas o Bonjour

  1. Descarregue o instalador offline do iTunes.
  2. Clique com o botão direito → Extrair para.
    Surgem vários .ficheiros .msi.
  3. Localize Bonjour64.msi.
    Na linha de comandos elevada (Win + X → Terminal (admin)) digite:
    msiexec /i "C:\Caminho\Bonjour64.msi" /qn
  4. Verifique em C:\Program Files\Bonjour\mdnsNSP.dll a versão ≥ 4.0.0.26.
  5. Reinicie. O alerta deve desaparecer.

Apenas suprimir o alerta

  1. Abra Segurança do Windows.
  2. Navegue até Isolamento do núcleo.
  3. Clique em Detalhes da integridade de memória.
  4. Na lista, selecione mdnsNSP.dll e marque “Não mostrar novamente”.
  5. Confirme. O Windows não carregará a DLL, mas pára de avisar.

Casos especiais e perguntas frequentes

Preciso mesmo do Bonjour?

Depende:

  • Sincronização de iPhone via cabo — Não.
  • Sincronização Wi‑Fi, AirPlay, Biblioteca partilhada — Sim.
  • Aplicações de terceiros como Adobe CC ou OBS NDI — podem usar mecanismos próprios; verifique.

O bloqueio afeta apenas o Windows 11?

Windows 10 22H2 pode exibir aviso semelhante se o utilizador habilitar “Integridade de Memória” manualmente, mas o recurso não vem ativo por padrão, logo é menos comum.

Existe work‑around sem reiniciar?

Depois de atualizar Bonjour, basta terminar o serviço mDNSResponder.exe e relançar. Use o PowerShell:

Stop-Service -Name "Bonjour Service"
Start-Service -Name "Bonjour Service"

Isso força a DLL nova a carregar sem reboot (útil em servidores de produção).

Como confirmar que a DLL agora é segura

  1. Abra Terminal (admin).
  2. Execute:
    Get-FileHash "C:\Program Files\Bonjour\mdnsNSP.dll" -Algorithm SHA256
  3. Compare o valor obtido com o hash publicado pela Apple nas notas de versão.
    Se coincidir, a cópia é legítima.
  4. No Event Viewer procure Event ID 3033 — CodeIntegrity. A ausência de novas entradas referentes a mdnsNSP.dll confirma o êxito.

Boas práticas para evitar alertas LSA no futuro

  • Mantenha o iTunes instalado através da Microsoft Store; os pacotes .msix são atualizados silenciosamente.
  • Se utiliza a versão desktop, verifique mensalmente em Ajuda → Procurar atualizações.
  • Ative Microsoft Defender SmartScreen; ele bloqueia instaladores desatualizados obtidos em sites de terceiros.
  • Para administradores de rede, utilize políticas Intune ou GPO para impor versões mínimas de Bonjour.

Glossário

LSAMódulo que gere credenciais, logins e tokens de segurança do Windows. Kernel IsolationFuncionalidade que impede que código não verificado seja executado em contexto de kernel. mDNSMulticast Domain Name System; resolve nomes .local em redes locais. Name‑Space ProviderExtensão Winsock que permite a aplicações consultar novos tipos de nome.

Conclusão

O bloqueio do mdnsNSP.dll não é sinal de infeção, mas sim de política de segurança mais rigorosa do Windows 11. A forma mais expedita de o resolver consiste em instalar uma versão atual do Bonjour — seja por atualização parcial ou reinstalação completa do iTunes. Ignorar o aviso é seguro, embora possa limitar funcionalidades de rede do ecossistema Apple. Mantenha sempre os componentes da Apple atualizados e o sistema operativo em dia para evitar incompatibilidades futuras.


Atualizado em julho de 2025 com base nas últimas compilações públicas do Windows 11 24H2 e Bonjour 4.0.0.26.

Índice