El error 0x80070005 (“Access Denied”) al usar Windows Update en Windows Server 2022 suele indicar un conflicto de permisos o corrupción de componentes. A continuación encontrarás un procedimiento exhaustivo —y probado en servidores Lenovo y otras marcas— para diagnosticar, corregir y evitar que el problema reaparezca.
Por qué aparece el error 0x80070005 en Windows Update
El código 0x80070005 es genérico para “Acceso denegado”. En el contexto de Windows Update implica que uno de los subsistemas (BITS, Servicios criptográficos, TrustedInstaller, etc.) no puede leer, escribir o firmar archivos críticos. Las causas habituales son:
- Cuenta de servicio sin privilegios suficientes (especialmente en servidores unidos a dominio con GPO restrictivas).
- Componentes de Windows Update dañados o reubicados (carpeta
SoftwareDistributionoCatroot2). - Políticas de grupo o WSUS mal configurados que fuerzan rutas o certificados incorrectos.
- Interferencia de antimalware, firewall o proxy de inspección HTTPS que altera la cadena de confianza.
- Permisos NTFS alterados en directorios temporales (
%SystemRoot%\Temp,%windir%\Logs\CBS).
Diagnóstico inicial (5 minutos)
Antes de modificar nada, valida si realmente se trata de un fallo de permisos:
- Repite la búsqueda de actualizaciones con una cuenta del grupo Administrators local.
- Abre Visor de eventos → Registros de Windows → Setup y filtra por
EventID 20yEventID 25. Si el campo ErrorCode coincide con 0x80070005, continúa con esta guía. - Ejecuta
whoami /privpara confirmar que el token posee los derechos SeBackupPrivilege, SeRestorePrivilege y SeDebugPrivilege. Sin ellos, Windows Update no podrá reescribir librerías de sistema.
Paso a paso para resolver el error
Ejecutar Windows Update con privilegios elevados
Aunque parezca obvio, el 20 % de los casos se resuelven lanzando control /name Microsoft.WindowsUpdate desde un Command Prompt con Run as administrator. En entornos RDP, asegúrate de que la sesión no está limitada por RestrictedAdmin.
Solucionador de problemas integrado
Accede a Configuración → Sistema → Solucionar problemas → Otros solucionadores → Windows Update y ejecútalo. El asistente restablece flags de los servicios BITS y WUA, y repara ACLs típicas de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate.
Restablecer manualmente los componentes de Windows Update
Cierra aplicaciones críticas, abre PowerShell como administrador y ejecuta:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren %SystemRoot%\SoftwareDistribution SoftwareDistribution.old
ren %SystemRoot%\System32\catroot2 Catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserverEsto fuerza a Windows a reconstruir la base de datos de descargas y los catálogos de firma.
Revisar directivas de grupo y WSUS
- Abre
gpedit.mscy navega hasta Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Update. Deshabilita las directivas que impidan instalar actualizaciones firmadas por Microsoft o que apunten a un servidor WSUS inexistente. - Si usas WSUS, comprueba que tenga la cadena de confianza TLS 1.2 y los certificados SHA‑256 actualizados; de lo contrario Windows Server 2022 rechazará las descargas.
Comprobar y reparar archivos del sistema
Daños en win32k.sys, servicingstack.dll o archivos de manifiesto pueden provocar el 0x80070005. Ejecuta:
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealthSFC repara archivos con la caché local; DISM descarga componentes desde Windows Update o WSUS para restaurar la imagen.
Verificar permisos NTFS y claves de registro
| Recurso | Permiso mínimo | Cuenta |
|---|---|---|
| %SystemRoot%\SoftwareDistribution | Full Control | SYSTEM, TrustedInstaller |
| %SystemRoot%\Logs\CBS | Modify | SYSTEM |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate | Full Control | SYSTEM, Administrators |
Utiliza icacls y regini para restaurar ACLs si detectas “Access is denied”.
Analizar el registro de Windows Update
En Windows Server 2022, usa Get-WindowsUpdateLog para generar un archivo legible en el Escritorio. Busca líneas con el texto HR=0x80070005 y anota el PID del componente. Si ves referencias a AppContainer, significa que un antivirus o EDR está bloqueando la escritura en %Temp%.
Descartar interferencias de seguridad
- Desactiva temporalmente el antivirus o activa el modo Passive / Audit.
- Asegúrate de permitir los puertos 80, 443, 8530 y 8531 hacia los dominios
.windowsupdate.comy.microsoft.com. - Si usas proxy SSL de inspección profunda, excluye los dominios de Windows Update o instala el certificado raíz en
Trusted Root CAsde Equipo local.
Instalar manualmente las actualizaciones
Cuando sólo un parche falla, descárgalo en formato .msu desde el Microsoft Update Catalog con el nombre exacto del paquete (ej. KB5031530). Instálalo mediante:
wusa.exe .\windows10.0-kb5031530-x64.msu /quiet /norestartInstala siempre primero el Servicing Stack Update (SSU) más reciente; su ausencia provoca bucles de error 0x80070005.
Comprobaciones avanzadas (opcional)
Restablecer la configuración DCOM
Abre dcomcnfg.exe, expande Servicios de componentes → Equipos → Mi PC → Configuración DCOM y verifica que Windows Management Instrumentation permita Activación local y Acceso local para NT AUTHORITY\SYSTEM.
Reparar el repositorio WMI
winmgmt /verifyrepository
winmgmt /salvagerepository
winmgmt /resetrepositoryUn repositorio corrupto impide a Windows Update consultar el inventario de componentes.
Usar Sysinternals ProcMon para identificar denegaciones
Si el error persiste, captura la actividad de svchost.exe (netsvcs) con Process Monitor. Filtra por Result = ACCESS DENIED para descubrir la clave o archivo exacto implicado. Tras ajustar permisos, repite la actualización.
Buenas prácticas para evitar que el error reaparezca
- Mantén el firmware y los controladores Lenovo al día (utiliza Lenovo XClarity UpdateXpress o Lenovo Service Bridge).
- Programa tareas de mantenimiento que limpien
%SystemRoot%\Tempy el registro de eventos cuando superen 300 MB. - Aplica GPOs de endurecimiento en modo Audit primero; si impactan Windows Update cambiarán a Enforced sólo tras probarlas.
- Documenta cada cambio en WSUS, proxy y antivirus y coordina ventanas de mantenimiento para actualizaciones acumulativas mensuales (Patch Tuesday).
Conclusión
El error 0x80070005 en Windows Server 2022 casi siempre se reduce a un conflicto de permisos o a componentes de actualización dañados. Siguiendo los pasos anteriores—de los más simples a los más avanzados—es posible restaurar el servicio sin reinstalar el sistema. Además, implementar las buenas prácticas descritas minimizará que el problema reaparezca y mantendrá tu servidor actualizado y seguro.