MENU
  1. ホーム
  2. Windows Server
  3. Excel: file .tmp bloccati su Windows Server (giugno 2024). Causa WatchGuard EPDR e fix definitivo

Excel: file .tmp bloccati su Windows Server (giugno 2024). Causa WatchGuard EPDR e fix definitivo

Windows Server

Dopo i cumulative update di giugno 2024 su Windows Server 2016/2019 molti amministratori hanno visto comparire file .tmp di Excel bloccati nelle share. La causa non è la patch di Microsoft, ma un’interazione con WatchGuard EPDR: un hotfix rilasciato a luglio 2024 risolve definitivamente.

Indice

Panoramica del problema

In ambienti con file‑server Windows e cartelle condivise, l’apertura di file Excel (Office 2016 o Microsoft 365 Apps) crea file temporanei con nome casuale, ad esempio 78F9A289.tmp. In condizioni normali questi file sono transitori, ma con la combinazione di aggiornamenti di giugno 2024 e agent EPDR in determinate versioni si osservano i seguenti sintomi:

  • I file temporanei non vengono eliminati alla chiusura di Excel.
  • Le ACL risultano vuote o corrotte; in Esplora file può apparire un avviso tipo “You must have read permissions…”.
  • La rimozione fallisce anche per Administrator o SYSTEM (accesso negato).
  • I file .tmp si accumulano e consumano spazio disco progressivamente.
  • Smontando e rimontando il volume (o riavviando il server) le ACL “ricompaiono” e i file diventano cancellabili.

Tentativi tipici che non risolvono il problema:

  • Prendere possesso del file o forzare l’eredità delle autorizzazioni.
  • Eseguire icacls o takeown come SYSTEM (es. via PsExec).
  • Avviare Excel in modalità provvisoria, disabilitare la cache offline, chiudere tutte le sessioni SMB.

Causa individuata

Il malfunzionamento non è dovuto alla patch cumulativa di Windows in sé, ma a una interazione tra Office/Excel e WatchGuard EPDR. In particolare, il modulo di protezione intercetta i lock‑file/temporary file creati da Excel su percorsi SMB, impedendone la corretta chiusura e cancellazione e lasciando oggetti con ACL incoerenti su NTFS.

Il fenomeno è riproducibile su:

  • Windows Server 2016 e 2019 come file‑server SMB;
  • Client con Office 2016 e Microsoft 365 Apps (canali correnti);
  • Share classiche o DFS; storage locale, SAN o NAS presentato via iSCSI/FC.

Come riconoscere rapidamente il problema

Se sospetti di essere affetto, segui questa checklist di diagnosi rapida:

  1. Osserva la share: dopo l’uso di file Excel condivisi compaiono file con estensione .tmp e nomi alfanumerici casuali nella stessa cartella del documento originale.
  2. Apri le proprietà del file .tmp: nella scheda Sicurezza le ACL possono risultare vuote; qualsiasi tentativo di modifica genera errori.
  3. Prova da console elevata: icacls \\server\share\path\78F9A289.tmp takeown /f \\server\share\path\78F9A289.tmp del \\server\share\path\78F9A289.tmp Se ricevi “Accesso negato” o errori di struttura delle ACL, stai vedendo lo stesso comportamento.
  4. Conferma la persistenza: riavvia il server o smonta e rimonta il volume; i file diventano eliminabili. Alla successiva attività con Excel, il problema ricompare.

Nota tecnica: Excel utilizza diversi file transitori: i classici ~$nomefile.xlsx (lock‑file visibile) e ulteriori *.tmp per operazioni transazionali. Se un EDR blocca le primitive di cancellazione o altera i descrittori di sicurezza, l’oggetto resta “orfano” con ACL invalide.

Soluzione confermata

WatchGuard ha rilasciato a luglio 2024 un hotfix EPDR che ripristina il comportamento corretto: dopo l’aggiornamento dell’agente, i file temporanei vengono creati e rimossi normalmente alla chiusura di Excel, senza più residui né ACL corrotte. Installazioni che includono Server 2016, Server 2019, Office 2016 e Microsoft 365 hanno confermato la risoluzione.

Procedura consigliata di remediation

  1. Verifica la versione dell’agente EPDR distribuita sul file‑server.
  2. Richiedi e applica l’hotfix tramite il canale di supporto WatchGuard oppure aggiorna alla versione uguale o superiore a quella contenente il fix.
  3. Pianifica un riavvio del server dopo l’aggiornamento per rilasciare eventuali handle e sbloccare gli oggetti persistenti.
  4. Esegui test funzionali: apri/salva/chiudi un file Excel in una share di prova, verifica che nessun nuovo .tmp rimanga e che i lock‑file ~$ spariscano.

Mitigazioni temporanee (se il fix non è subito disponibile)

PassoEffettoLimite
Disattivare o disinstallare temporaneamente EPDR sul file‑serverI file .tmp vengono cancellati correttamenteEspone il server senza protezione AV/EDR
Montare il volume come “offline” e rimontarlo (o riavviare il server)Consente di eliminare i .tmp esistentiOperazione manuale; il problema ricompare alla successiva attività

Raccomandazioni operative

  1. Aggiorna l’agente EPDR alla versione corretta o superiore non appena disponibile.
  2. Riavvia il server dopo l’update per liberare i file residui e riallineare gli hook del driver EDR.
  3. Configura esclusioni mirate per i percorsi e pattern dei lock‑file di Office (esempio: ~$.xls, ~$.xlt, ~$.xlsx, e i .tmp limitati alle share Office). Evita esclusioni globali su *.tmp: restringi a cartelle note e necessarie.
  4. Monitora lo spazio disco con strumenti che ignorino oggetti senza ACL per evitare falsi positivi e allarmi ricorrenti.
  5. Documenta la dipendenza tra cicli di patch (Windows/Office) e AV/EDR nei runbook di manutenzione di file‑sharing.

Playbook di triage (passo‑passo)

  1. Conferma il contesto: Server 2016/2019, share SMB, Excel usato da più utenti, EPDR installato.
  2. Valuta l’impatto: numero di cartelle coinvolte, crescita dei .tmp al giorno, spazio libero residuo sui volumi.
  3. Blocca l’emorragia: se non puoi aggiornare subito l’agente, valuta la disattivazione temporanea di EPDR solo sul file‑server con un cambio approvato.
  4. Pianifica il change: finestra di manutenzione per aggiornamento agente + riavvio del server.
  5. Bonifica: rimuovi i .tmp orfani (vedi script) e verifica che non si ricreino.
  6. Post‑mortem: aggiorna la knowledge base interna e le esclusioni EDR standard.

Verifiche e test dopo l’aggiornamento

  • Apri lo stesso file Excel da due workstation per simulare un lock reale; chiudi in sequenza e osserva che i ~$ e i .tmp scompaiono alla chiusura.
  • Esegui un salvataggio “pesante” (ad es. filtro, tabella pivot, macro) e verifica l’assenza di residui.
  • Controlla il registro eventi di sistema per eventuali errori NTFS/SMB durante il test.

Strumenti e comandi utili

Ispezione e rimozione (post‑fix)

:: Elenca i .tmp (nascosti compresi) ordinati per data
dir \\server\share\path\*.tmp /a /od

:: Tenta la cancellazione forzata (dopo l'hotfix)
del /f /q \server\share\path*.tmp

:: Verifica le ACL di un file specifico
icacls \server\share\path\78F9A289.tmp

Script PowerShell di bonifica (da usare dopo il fix)

Questo script elenca e rimuove i .tmp più vecchi di 1 giorno nella share indicata. Logga gli errori senza interrompersi.

$SharePath = "\\server\share\path"
$Log       = "C:\Temp\CleanupTmp$(Get-Date -Format yyyyMMddHHmmss).log"

"Start cleanup in $SharePath" | Out-File -FilePath $Log -Encoding UTF8

Get-ChildItem -Path $SharePath -Filter *.tmp -Recurse -Force -ErrorAction SilentlyContinue |
Where-Object { $*.LastWriteTime -lt (Get-Date).AddDays(-1) } |
ForEach-Object {
try {
Remove-Item -LiteralPath $*.FullName -Force -ErrorAction Stop
"Removed: $($*.FullName)" | Out-File -FilePath $Log -Append -Encoding UTF8
} catch {
"Failed:  $($*.FullName) - $($_.Exception.Message)" |
Out-File -FilePath $Log -Append -Encoding UTF8
}
}

"Done." | Out-File -FilePath $Log -Append -Encoding UTF8

Importante: esegui lo script solo dopo l’aggiornamento dell’agente EPDR o dopo un riavvio/smonta‑rimonta del volume; prima di allora la cancellazione può fallire a causa delle ACL corrotte.

Buone pratiche per EPDR/AV su file‑server

  • Esclusioni granulari: limita pattern e cartelle alle share che contengono documenti Office; non creare esclusioni globali rischiose.
  • Versioning controllato: mantieni una pipeline di test (anello pilota) per agent EDR e aggiornamenti Office su una share non critica.
  • Change management: coordina patch di Windows/Office e aggiornamenti EDR entro la stessa finestra, con backout plan.
  • Monitoraggio: dashboard con numero di .tmp per share, crescita giornaliera, tempo di permanenza medio; avvisi solo se oltre soglia e non durante le finestre di backup.

Domande frequenti (FAQ)

È colpa degli aggiornamenti cumulativi di Windows?

No. Gli update di giugno 2024 hanno fatto emergere l’interazione con il driver EPDR, ma la causa radice è nel modo in cui il componente di sicurezza intercettava le operazioni sui lock‑file/temporary file di Excel.

Disabilitando EPDR tutto torna a posto: posso lasciare così?

È una mitigazione d’emergenza. Lasciare un file‑server senza protezione non è accettabile. Applica l’hotfix e riattiva la protezione quanto prima.

Il problema riguarda anche Word/PowerPoint?

Il comportamento è stato osservato soprattutto con Excel, che fa uso intensivo di file temporanei durante salvataggi e co‑authoring. Valgono comunque le stesse esclusioni per i lock‑file ~$ degli altri applicativi Office.

Serve intervenire su SMB, oplock, caching o antivirus dei client?

No. Non è necessario modificare impostazioni SMB né disabilitare la cache offline lato client. Il punto d’intervento efficace è l’agent EPDR sul file‑server.

Le ACL “vuote” indicano un problema del disco?

Non in questo caso. Le ACL risultano incoerenti per effetto dell’hook di sicurezza; il volume risulta sano e, dopo rimontaggio/riavvio o dopo l’hotfix, i descrittori tornano coerenti e i file sono rimovibili.

Checklist di risoluzione rapida

  • [ ] Conferma versione Windows Server (2016/2019) e presenza di EPDR sul file‑server.
  • [ ] Raccogli evidenze: nomi di file .tmp, errori Accesso negato, ACL vuote.
  • [ ] Pianifica l’update dell’agente EPDR con finestra di riavvio.
  • [ ] Dopo l’update, riavvia e verifica la scomparsa dei nuovi residui.
  • [ ] Bonifica i .tmp preesistenti e aggiorna le esclusioni per i lock‑file Office.
  • [ ] Documenta nel runbook la dipendenza tra patch/EDR e servizi di file‑sharing.

Impatto e rischi se non si interviene

  • Spazio disco: crescita continua dei .tmp fino al riempimento del volume.
  • Rumore operativo: allarmi di monitoraggio, ticket ripetitivi, interventi manuali di pulizia.
  • Rischio di interruzione: condivisioni in read‑only forzato dal file system in condizioni di spazio critico.

Conclusioni

La persistenza di file temporanei di Excel nelle share SMB dopo gli aggiornamenti di giugno 2024 è stata ricondotta a un effetto collaterale di WatchGuard EPDR. L’hotfix di luglio 2024 ripristina la normale gestione di lock‑file e .tmp eliminando il problema alla radice. In attesa del fix, sono possibili mitigazioni operative (disattivazione temporanea dell’agent o rimontaggio del volume), ma la strategia corretta resta aggiornare l’agente EPDR, riavviare, bonificare i residui e consolidare le esclusioni per i file di lock di Office. Con una breve finestra di manutenzione e una verifica puntuale, il servizio di file‑sharing torna stabile e privo di residui.

Appendice: esempi di esclusioni (da adattare alle tue policy)

AmbitoPatternNote
Lock‑file Office~$.xls, ~$.xlt, ~$.xlsx, ~$.xlsmLimita alla/e share documentali (es. \\server\Dati\Utenti, \\server\Reparti)
Temporary Excel*.tmpSolo nelle cartelle di lavoro di Office; evita esclusioni globali.

Suggerimento: crea un gruppo di “server critici” con anello pilota per agent EPDR e canali Office diversi; valida sempre su share di test prima del roll‑out in produzione.

Windows Server
Excel File server Microsoft 365 Troubleshooting WatchGuard EPDR Windows Server
Indice