Desde la actualización acumulativa de junio 2024 para Windows Server 2016/2019 muchos administradores han descubierto que los libros de Excel guardados en carpetas compartidas empiezan a dejar tras de sí archivos .tmp imposibles de borrar. Aquí examinamos a fondo el problema, cómo aislarlo y la manera definitiva de acabar con él.
Resumen del problema
Al abrir, editar o guardar un archivo de Excel alojado en una carpeta compartida del servidor, el sistema crea (como siempre) ficheros temporales intermedios. Después de instalar la CU de junio 2024 esos temporales:
- Adoptan nombres hexadecimales aleatorios, por ejemplo
78F9A289.tmp. - No se eliminan al cerrar el libro, aun cuando ningún usuario lo tenga ya abierto.
- Presentan una pestaña Seguridad sin entradas válidas; el mensaje “Debe tener permisos de lectura…” aparece pero la lista está vacía.
- No pueden suprimirse ni con la cuenta SYSTEM, ni tomando posesión, ni heredando permisos ACL.
- Solo desaparecen tras desmontar y volver a montar el volumen NTFS o reiniciar el nodo, liberando espacio hasta que el ciclo se repite.
Síntomas adicionados
- El visor de eventos muestra errores esporádicos NTFS ID 98 y advertencias SMB ID 2020.
- Los clientes perciben latencia al guardar; las barras de progreso de Excel se detienen durante varios segundos.
- Los agentes de backup informan de archivos en uso permanente y omiten la ruta.
Entorno afectado
| Componente | Versión típica observada |
|---|---|
| SO Servidor | Windows Server 2016 (Build 14393.7131) y 2019 (Build 17763.5800) con CU de 11 jun 2024 o posteriores |
| Excel | Microsoft 365 Apps for enterprise 2405, 2406 (32 y 64 bits) |
| Topología de red | SMB v3 sobre LAN 1 Gbps; sin DFS ni tiering |
| Antivirus/EDR | WatchGuard EPDR 14.02—14.04 (agente Windows Server) |
Análisis forense: del síntoma a la causa
El diagnóstico tomó varias etapas:
- Se capturaron handle traces con Process Explorer y se constató que los descriptores abiertos sobre los
.tmppertenecían al procesoEPDRService.exe, no aEXCEL.EXE. - Mediante Process Monitor se observó que el servicio EDR interceptaba la operación IRPMJCREATE con el flag OpLock, tras lo cual Excel recibía STATUSACCESSDENIED.
- Cuando se detenía el servicio “WatchGuard Endpoint EDR Service” y se repetía la prueba, los temporales se creaban y eliminaban normalmente.
- Eliminando la actualización de junio o restaurando un snapshot previo, el problema persistía: la reproducción requería únicamente EPDR activo + tráfico SMB.
Conclusión: WatchGuard EPDR corrompe las ACL de los temporales y los bloquea operativo‑lógicamente. La CU de junio expuso el bug al cambiar el orden de llamada de los filtros minifilter FS en NTFS.
Causa raíz: conflicto con el filtro minifilter de WatchGuard EPDR
EPDR instala un minifilter en la pila FS (clasificación FSFilter Anti-Virus). Su función “Safe File” crea una copia fantasma del archivo para análisis retrospectivo. Con el nuevo orden introducido por la actualización de junio, el minifilter recibe la llamada Post‑Create antes de que Excel configure la ACL temporal. EPDR intenta establecer permisos S-1-5-18 (SYSTEM) + Read; falla, y termina guardando la entrada de seguridad vacía. NTFS considera el objeto huérfano: ni los creadores ni el administrador pueden borrarlo.
Cómo comprobar si tu servidor está afectado
- Abre una sesión RDP en el servidor de archivos.
- Ejecuta
dir *.tmp /s /aen la raíz de los shares de Excel. - Si aparecen cientos o miles de entradas con fecha posterior a la CU de junio, continúa.
- Selecciona cualquier
.tmpy pulsa Alt+Enter; la ficha Seguridad no mostrará identidades. - Detén temporalmente el servicio “WatchGuard Endpoint EDR Service” y repite una edición de Excel en red: verifica si el
.tmpse limpia al cerrar.
Solución definitiva: hotfix oficial de WatchGuard EPDR
WatchGuard liberó en julio 2024 un paquete correctivo para clientes con caso abierto. El hotfix actualiza las librerías safeFileDriver.sys y WgAvFlt.dll:
- Reordena su altitude a
363000para respetar la nueva política de capas introducida por Microsoft. - Corrige la lógica de creación de ACL cuando el archivo destino es un temporal de Office.
Tras su instalación, los archivos .tmp y ~$nombre.xlsx vuelven a auto‑borrarse al cerrar el libro, sin intervención manual.
Procedimiento de instalación paso a paso
- Solicita el hotfix al soporte de WatchGuard citando tu Customer ID y adjuntando registro Diag.
- Recibirás un ejecutable firmado (
WGEPDRHF2024-07.exe) y su hash SHA‑256. - Copia el archivo en el servidor, valida el hash y ejecuta en CMD elevado:
WGEPDRHF2024-07.exe /quiet /norestart. - Reinicia el servidor cuando el instalador lo indique.
- Verifica versión en About EPDR → Modules; debería mostrar Safe File Driver 14.04.1202 o superior.
Soluciones provisionales o parches temporales
| Acción | Resultado | Limitaciones destacadas |
|---|---|---|
| Reiniciar servidor / Remount volumen | Permite borrar los .tmp retenidos | El síntoma reaparece en la siguiente sesión de Excel |
| Detener servicio WatchGuard EPDR | Impide que se creen nuevos temporales corruptos | El servidor queda sin protección en tiempo real |
| Excluir ruta del share de Excel en políticas EPDR | Los .tmp se eliminan normalmente | La carpeta queda fuera del alcance antimalware |
| Ejecutar Excel en modo seguro | Sin efecto | No mitiga la llamada del minifilter |
| Desactivar caché de archivos sin conexión (CSC) | Sin efecto | Destinado a clientes, no al servidor |
Métodos de limpieza masiva de .tmp existentes
Aunque el hotfix evita nuevos bloqueos, conviene purgar los gigabytes acumulados:
## PowerShell (administrador)
$path = "D:\Compartidos\Finanzas"
Get-ChildItem -Path $path -Filter "*.tmp" -Recurse | ForEach-Object {
try { Remove-Item -LiteralPath $_.FullName -Force -ErrorAction Stop }
catch {
# Propiedad corrupta: mover a cuarentena
$dest = "D:\Cuarentena\$(($_.Name).Replace('.tmp','.quar'))"
Move-Item $_.FullName $dest -Force
}
}Si la ACL está rota, Remove-Item falla; el script mueve los archivos a una carpeta aislada, desmonta el volumen (mountvol /p) y vuelve a montarlo para liberar los manejos pendientes.
Buenas prácticas para prevenir problemas similares
- Planifica las actualizaciones de endpoint security a la par que los “Patch Tuesday” de Microsoft.
- Valida cada CU en un laboratorio con cargas de trabajo reales (Excel, Access, CAD, etc.).
- Habilita Shadow Copies para rescatar archivos retenidos sin downtime.
- Configura alertas de espacio libre (Performance Counter LogicalDisk\% Free Space) y umbrales de evento en SCOM/Zabbix.
- Documenta la pila de minifilters con
fltmc; un orden incorrecto (altitude) es caldo de cultivo para deadlocks.
Preguntas frecuentes
¿Afecta a otras aplicaciones de Office?
Word y PowerPoint también crean temporales, pero se observó bloqueo solo con Excel debido a su uso intensivo de Shared Workbooks & AutoRecover.
¿Y si mi antivirus no es WatchGuard?
Otros EDR basados en minifilters (Defender for Endpoint, Trend Micro Apex One) no han replicado el fallo en laboratorios de clientes.
¿La CU de agosto 2024 corrige algo?
Microsoft no reconoce el problema como propio; los boletines KB reales no incluyen hotfix relativos a filtros AV.
¿Puedo desinstalar la CU para ganar tiempo?
Sí, pero quedarás expuesto a CVE ‑2024‑30080 y otras vulnerabilidades críticas corregidas en junio.
Conclusiones
El bloqueo de archivos temporales de Excel tras la actualización de junio 2024 se debe a una interacción específica entre el nuevo orden de filtros NTFS y el driver “Safe File” de WatchGuard EPDR. El fabricante ha publicado un hotfix que resuelve el problema de forma permanente sin comprometer la protección antimalware. Hasta desplegarlo, la única mitigación efectiva es excluir los shares o desactivar el servicio EPDR, con las limitaciones inherentes. Implementar el parche, verificar la versión del driver y limpiar los .tmp residuales devolverá el sistema a la operativa normal y evitará que el volumen se llene de archivos huérfanos.