Как устранить проблемы с запуском службы фильтрации ядра?

Служба Base Filtering Engine (BFE) является важным сетевым компонентом, на который нацелены многие вредоносные программы. Если служба BFE не запускается, многие службы, такие как брандмауэр Windows, маршрутизация и удаленный доступ и другие службы, не запускаются.

Если служба BFE отсутствует в MMC служб или если Центр поддержки предупреждает вас о том, что брандмауэр Windows не включен, весьма вероятно, что ваша система подверглась атаке. Тщательно проверьте его, используя известный инструмент для защиты от вредоносных программ, или вы можете обратиться за профессиональной помощью для устранения вредоносных программ. Попытка восстановить эти сервисы, когда на вашей системе находится вредоносное ПО, в большинстве случаев не поможет.

В этом посте предполагается, что вы выполнили очистку от вредоносных программ и ищете информацию о том, как исправить такие службы, как BFE, брандмауэр Windows и другие.

Первое (и, вероятно, единственное), что большинство из нас делает для восстановления службы базового механизма фильтрации, — это импортирование разделов реестра службы с аналогичного компьютера, что на самом деле является правильным шагом. Но это только зачисляет службу в MMC служб, но необходимые разрешения службы не назначаются автоматически. Из-за отсутствия специальных разрешений для службы BFE при попытке включения BFE или брандмауэра Windows возникают следующие ошибки.

Некоторые сообщения об ошибках, которые вы можете увидеть:

Центр поддержки не может включить брандмауэр Windows

При включении через панель управления брандмауэра Windows может появиться ошибка. Брандмауэр Windows не может изменить некоторые ваши настройки. Код ошибки 0x80070433 или ошибка 0x8007042c.

Службы MMC: Windows не удалось запустить службу брандмауэра Windows на локальном компьютере. Ошибка 1075: служба зависимостей не существует или была помечена для удаления.

Службы MMC: Windows не удалось запустить службу базового модуля фильтрации на локальном компьютере. Ошибка 5: доступ запрещен.

Это также записывается в системный журнал событий:

Имя журнала: Система
Источник: Service Control Manager
Дата: 9.01.2016, 8:21:25
Код события: 7023
Категория задачи: Нет
Уровень: Ошибка
Ключевые слова: классика
Пользователь: N / A
Компьютер: W10-PC
Описание:
Служба BFE прервана со следующей ошибкой:
Доступ запрещен.

Решение. Исправьте ключи реестра службы BFE.

Сначала создайте точку восстановления системы, а затем восстановите записи реестра службы BFE, загрузив соответствующий ZIP-файл для вашей версии Windows:

BFE для Windows 7 | BFE для Windows 8 | BFE для Windows 10

Разархивируйте и запустите прилагаемый файл REG. Это регистрирует сервис BFE обратно.

Не можете получить доступ к ключу реестра BFE? Стать владельцем.

Если вы не можете открыть раздел реестра службы BFE или не можете изменить разрешения, как предлагается в этой статье, вам может потребоваться вступить во владение следующим разделом реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ BFE

и (только при необходимости) в этом ключе:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ BFE \ Parameters \ Policy

Дополнительные сведения о смене владельца раздела реестра см. В статье «Стать владельцем раздела реестра». После этого достаточно легко применить правильные разрешения для раздела реестра Base Filtering Service.

Затем, чтобы исправить разрешения службы BFE, запустите Regedit.exe и перейдите по следующему пути реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ BFE \ Parameters \ Policy

Щелкните правой кнопкой мыши Policy и выберите Permissions.

У него есть некоторые разрешения по умолчанию, унаследованные от родительского ключа. По умолчанию SYSTEM и группа «Администраторы» имеют разрешения «Полный доступ». Но этого недостаточно, чтобы начать BFE.

Нажмите кнопку Добавить.

В поле Введите имена объектов для выбора: введите NT SERVICE \ BFE и нажмите кнопку ОК.

BFE добавляется в список имен групп или пользователей. Нам нужно дать ему некоторые специальные разрешения. Нажмите Дополнительно

Выберите BFE и нажмите кнопку «Изменить».

В диалоговом окне ввода разрешений включите или разрешите следующие разрешения для BFE:

  • Значение запроса
  • Установить значение
  • Создать подраздел
  • Перечислять подключи
  • Поставить в известность
  • Контроль чтения (это добавляется по умолчанию при добавлении BFE)

После добавления вышеуказанных (шести) разрешений нажмите ОК.

Теперь вы вернетесь в диалоговое окно «Дополнительные параметры безопасности». Выберите BFE, нажмите «Заменить все дочерние разрешения объекта наследуемыми разрешениями для этого объекта» и нажмите «ОК».

Вы вернетесь в стандартный диалог разрешений. Просто нажмите ОК и закройте диалоговое окно.

Перезагрузите Windows, а затем запустите службы MMC. Для этого нажмите «Пуск», введите services.msc и нажмите {ENTER}. Дважды щелкните Base Filtering Engine и проверьте статус. Если разрешения правильные и на борту нет вредоносного ПО, служба Base Filtering Engine должна показать состояние «Запущено».

Все еще нет игры в кости ..? Исправьте дескрипторы безопасности

Если ничего не помогает, сброс дескрипторов безопасности службы BFE может помочь вам. Откройте командную строку с повышенными правами / администратором. Для этого введите cmd.exe в Пуск. В результатах поиска щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора». В окне консоли введите следующую команду:

SC SDSET D: (A ;; CCLCSWRPWPDTLOCRRC ;;; SY) (A ;; CCDCLCSWRPWPDTLOCRSDRCWDWO ;;; BA) (A ;; CCLCSWLOCRRC ;;; IU) (A ;; CCLCSWLOCRRC ;; SU)

Убедитесь, что в строке дескриптора безопасности нет пробелов. Это должно быть как:

СК SDSET

Примечание. Дескриптор безопасности по умолчанию для службы BFE одинаков для Windows 7, Windows 8 и Windows 10. Применение вышеуказанного дескриптора безопасности для любой другой операционной системы Windows не рекомендуется.

(Для получения дополнительной информации о дескрипторах безопасности службы прочитайте сообщения Ричарда Спитца и блогов TechNet, посвященных сетевой организации Microsoft).

И вы должны увидеть сообщение SetServiceObjectSecurity SUCCESS. Перезагрузите Windows еще раз. Вместо этого, если вы получаете сообщение об ошибке SetServiceObjectSecurity FAILED 5: Доступ запрещен, то где-то Permissions неверны, и в этом случае повторите все вышеописанные шаги, чтобы проверить записи Permission. Это должно работать в конце концов!

Ссылка на основную публикацию